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Abstract of WO02073450 

The invention relates to a method for speeding 
up the time required to perform a Montgomery 
product calculation by applying the High-Radix 
Montgomery method on computing hardware. 
Said method comprises a loop of operations (72) 
consisting in repeating successive operations, 
i.e.: a first addition operation (76) involving the 
addition of a value of one of several first 
products, designated <o>ai</o>.<o>b</o> J and a 
value of one variable, designated u, according to 
a first relationship u:=u+<o>ai</o>.<o>b</o>; and 
a second addition operation (80) involving the 
addition of a value of one of several second 
products, designated m.n, and a value of variable 
u according to a second relationship u:=u+m.n. 
The inventive method is characterised in that at 
least said first and second addition operations 
are Carry-Save addition operations in order to 
speed up the time required to perform an 
addition. 
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(57) Abstract: The invention relates 
to a method for speeding up the time 
required to perform a Montgomery 
product calculation by applying the 
High-Radix Montgomery method on 
computing hardware. Said method 
comprises a loop of operations (72) 
consisting in repeating successive 
operations, i.e.: a first addition oper- 
ation (76) involving the addition of a 
value of one of several first products, 
designated <o>ai</o>.<o>b</o>, and 
a value of one variable, designated 
u, according to a first relationship 
u:=u+<o>ai</o>.<o>b</o>; and 
a second addition operation (80) 
involving the addition of a value 
of one of several second products, 
designated m.n, and a value of variable 
u according to a second relationship 
u:=u+m.n. The inventive method is 
characterised in that at least 



[Suite sur la page suivante] 



wo 02/073450 ai uminiiiiinmniuiDiDiiiiiii 



(84) Etats d£signes (regional) : brevet europeen (AT, BE, CH, 
CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, NL, PT, 
SE, TR). 

Public : 
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abreviations" figurant au debut de chaque nume'ro ordinaire de 
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said first and second addition operations are Carry-Save addition operations in order to speed up the time required to perform an 
addition. 

(57) Abreg6 : Proc&ie* pour acc£l£rer le temps d*ex6cution du calcul d'un produit de Montgomery en appliquant la m&hode de 
Montgomery a radix 61ev6 sur des moyens materiels de calcul, ladite mSthode comprenant une boucle d' operations (72) consistant 
a r£it£rer des operations successives dont notamment: une premiere operation d'addition (76) entre une valeur d'un de plusieurs 
premiers produits, notes alb", et une vaJeur d'une variable, notee u, selon une premiere relation u:=u+aT.b~; une seconde operation 
d'addition (80) entre une valeur d'un de plusieurs seconds produits, note's m.n, et une valeur de la variable u selon une deuxieme 
relation u:=u+m.n; caract6ris6 en ce qu'au moins lesdites premiere et seconde operations d'addition sont des operations d'addition 
de Carry-Save pour acc616rer le temps d'ex£cution d'une addition. 
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i) i. 

PROCEDE ET DISPOSITIF POUR REDUIRE LE TEMPS DE CALCUL D'UN PRODUIT, D'UNE 
MULTIPLICATION ET D'UNE EXPONENT I AT ION MODULAIRE SELON LA METHODE DE MONTGOMER 

Uinvention concerne des proc6d6s et des dispositifs pour acc6l6rer 
le temps d'ex^cution sur des moyens de calcul d'operations d'arithmetique 
modulaire et plus particulterement d'une exponentiation modulaire, d'une 
multiplication modulaire et d'un produit de Montgomery. 
5 Une operation de multiplication modulaire consiste a r6aliser 

Toperation suivante : 

a. b mod n ; 

ou a, b et n sont des entiers, n etant appele le modulus. 

De fagon classique, pour effectuer une multiplication modulaire, les 
10 moyens de calcul ex6cutent d'abord une multiplication de a par b, suivie d'une 
reduction modulo n. Le temps d'ex6cution de cette operation est proportionnel 
a k 2 , ou k est le nombre de bits necessaires pour coder respectivement a, b et 
n en binaire. 

De fagon 6galement connue des mathematiciens, une multiplication 
15 modulaire peut §tre r6alis6e par la methode de Montgomery. Cette methode 
fait intervenir des produits de Montgomery comme d6crit dans le document de 
Cetin Kaya Kog, « High Speed RSA Implementation » qui peut atre obtenu a 
I'adresse suivante : 

RSA Laboratories 
2 o RSA Data Security, Inc. 

100, Marine Parkway, Suite 500 

Redwood City, CA 94065 - 1 031 

U.S.A. 

Dans la suite de la description, ce document sera note D1. 
25 Une operation d'exponentiation modulaire consiste £ r6aliser 

Top6ration suivante : 
x c mod n ; 

Ou x, c et n sont des entiers, n 6tant le modulus. 
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Le calcul de cette exponentiation par des methodes connues, telles 
que par exemple la methode « Square and multiply », fait intervenir k 
multiplications modulaires, k etant le nombre de bits necessaires pour coder 
respectivement x, c et n en binaire. Ainsi il est admis que le temps d'execution 
5 de cette operation est proportionnel & k 3 . 

Les operations d'exponentiation modulaire constituent les 
operations de base de dispositifs de cryptage/decryptage deformations. Par 
exemple les dispositifs de cryptage/decryptage mettant en oeuvre I'algorithme 
RSA (Rivest-Shamir-Adleman) utilisent des exponentiations modulaires. 
10 Ces dispositifs se pr6sentent actuellement sous des formes 

diverses telles que des composants electroniques ou des cartes eiectroniques 
destines a etre associes a des moyens de calcul pour ex6cuter et/ou acceierer 
les operations de cryptage/decryptage. 

Le commerce eiectronique, notamment sur Internet, utilise un grand 
15 nombre de ces dispositifs de cryptage/decryptage pour crypter et d6crypter des 
operations commerciales telles que des paiements. Le chiffre d'affaire des 
soci6t6s effectuant du commerce eiectronique est done limite par le nombre 
d'operations de cryptage et de decryptage qui peuvent etre effectuees par 
seconde. 

20 On con9oit des lors qu'il est important d'acceierer le temps 

d'execution d'un produit de Montgomery, d f une multiplication et d'une 
exponentiation modulaires sur une machine 6quip6e de moyens de calcul. 

Uinvention vise done £ proposer un proc6de et un dispositif pour 
acceierer le temps d'execution du calcul d'un produit de Montgomery, d'une 

25 multiplication et d'une exponentiation modulaires sur une machine equipee de 
moyens de calcul. 

Elle a done pour objet un proc6d6 pour acceierer le temps 
d'execution du calcul d'un produit de Montgomery en appliquant la methode de 
Montgomery d radix eieve sur des moyens materiels de calcul, ladite methode 

30 comprenant une boucle d'operations consistant a reiterer des operations 
successives dont notamment : 
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une premiere operation d'addition entre une valeur d'un de plusieurs 
premiers produits, notes ai.b, et une valeur d'une variable, notee u, selon 
une premiere relation u :=u+ai ,b ; 

une seconde operation d'addition entre une valeur d'un de plusieurs 
5 seconds produits, notes m.n, et une valeur de la variable u selon une 
deuxfeme relation u := u + m.n ; caract6rise en ce qu'au moins lesdites 
premiere et seconde operations d'addition sont des operations d'addition de 
Carry-Save pour acc6l6rer le temps d'ex6cution d'une addition. 

Suivant d'autres caracteristiques et avantages de I'invention, le 
10 proc6d6 comporte : 

dans la boucle d'op6rations une troisieme operation de division de 
la variable u par une puissance de 2, notee 2® ou a> est le radix, selon une 

troisieme relation u :=^-, caracterise en ce que la variable u est enregistr£e 

sous la forme d'un couple de Canry-Save forme par deux variables, notees C et 
15 S, pour Pex6cution des operations de la boucle et en ce que la troisieme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
est r6alisee en deux etapes, a savoir : 

- une etape preiiminaire de calcul et de stockage d'une 
retenue, notee Re, qui risque d'etre perdue par la division de chaque variable C 

20 et S par la puissance de 2; 

- une etape de division de chaque variable C et S par la 
puissance de 2 ; 

I'etape preiiminaire de calcul de la retenue R e comprend l'op6ration 
d'additionner de fagon classique g> bits de poids faible de la variable C, notes 
25 Co, a ©bits de poids faible de la variable S, notes S 0 , selon une quatrieme 
relation R e :=C 0 + S 0; 

une recombinaison de u a partir des variables C et S du couple de 
Carry-Save et de la retenue R e comprend I'operation de decaler 3 droite de co 
bits la retenue R e et d'additionner de fagon convention nelle le r6sultat obtenu 
30 aux variables C et S selon une cinquieme relation u : = C+S+R e /2 0) ; 

il comporte & Tissue de Texecution de la boucle d'op6rations : 
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- une etape de recombinaison (84) de la variable u & partir au 
moins des valeurs des variables C et S du couple de Carry-Save calcuiees 
pendant I'execution de la boucle d'operations, et 

- une etape de reduction (86) de la variable u selon une 
5 sixieme relation u : = u-n, oO n est un modulus, 

lesdites etapes de recombinaison et de reduction de la variable u se 
chevauchant de mani&re d acceierer leur temps d'execution ; 

le radix co est egal a 4 bits pour optimiser le temps d'ex6cution du 
calcul d'un produit Montgomery sur des variables d'entree du produit de 
10 Montgomery cod6es sur 512 ou 1024 bits ; 

les premiers produits ai .b sont pre-calcules avant d'executer la 
boucle d'op6rations ; et 

les seconds produits m.n sont pr6-calcuies avant d'executer la 
boucle d'operations. 

15 L'invention a egalement pour objet un proc6de pour acceierer le 

temps d'execution du calcul d'un premier et d'un second produits de 
Montgomery en appliquant pour chaque produit comportant au moins une 
premiere 6tape pendant laquelle la premiere operation d'addition pour le 
premier produit est realis6e en m6me temps que la seconde operation 

2 o d'addition pour le second produit. 

Suivant d'autres caracteristiques et avantages de ce proc6d6 pour 
acc6I6rer le temps d'ex6cution du calcul d'un premier et d'un second produits 
de Montgomery : 

il comporte au moins une seconde 6tape d6cal6e dans le temps par 
25 rapport d la premiere, pendant laquelle la seconde operation d'addition pour le 
premier produit est r6alis6e en meme temps que la premiere operation 
d'addition pour le second produit ; 

il comporte a Tissue de I'execution de la boucle d'op6rations : 

- une etape de recombinaison puis de reduction pour le 

3 o premier produit execute en premier ; et ensuite, 

- une etape de recombinaison puis de reduction pour le second 
produit execute en second ; 
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une des variables d'entr^e du premier produit de Montgomery 
execute en premier se compose des poids faibles d'une variable, et une des 
variables d'entr6e du second produit de Montgomery ex6cut6 en second se 
compose des poids forts de cette meme variable ; 
5 L'invention a 6galement pour objet un proc6d§ pour accel6rer le 

temps d'ex6cution du calcul d'une multiplication modulaire en appliquant une 
m§thode mettant en ceuvre des produits de Montgomery, caract6ris6 en ce 
que le calcul des produits de Montgomery est r6alis6 en appliquant au moins 
Tun des proc6d6s conforme £ l'invention. 
10 Suivant d'autres caracteristiques et avantages de ce proc6d6 pour 

acc6l6rer le temps d'ex6cution du calcul d'une multiplication modulaire : 

ladite m6thode mettant en ceuvre des produits de Montgomery est la 
m6thode de Montgomery ; 

L'invention a 6galement pour objet un proced§ pour acc6l6rer le 
15 temps d'ex6cution du calcul d'une exponentiation modulaire en appliquant une 
m6thode mettant en ceuvre des multiplications modulaires, le calcul des 
multiplications modulaires est r6alis6 en appliquant un proced6 conforme a 
Tinvention. 

Suivant d'autres caract6ristiques et avantages de ce proced6 pour 
20 acc6l6rer le temps d'ex6cution du calcul d'une exponentiation modulaire : 

ladite m6thode mettant en ceuvre des multiplications modulaires est 
la m6thode m-ary avec une taille de mots de r bits ; 

la taille de mots r de la methode m-ary est 6gale a 5 bits pour 
acc6l6rer le temps d'ex6cution de la m6thode m-ary lorsque des variables 
25 d'entr6e du calcul de I'exponentiation modulaire sont cod6es sur 512 ou 1024 
bits ; 

les ' seconds produits m.n sont pr6-calcul6s avant d'appliquer la 
m6thode m-ary ; 

ladite m6thode mettant en oeuvre des multiplications modulaires est 
30 la m6thode des restes chinois ; 

L'invention a 6galement pour objet un proced6 pour acc6l6rer le 
temps d'ex6cution du calcul d'une premiere exponentiation modulaire en 
appliquant une m6thode mettant en oeuvre des secondes exponentiations 
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modulaires, les secondes exponentiations modulaires sont r6alisees en 
appliquant un proc6de conforme a I'invention. 

Suivant d'autres caracteristiques et avantages de ce proced6 pour 
acceterer le temps d' execution du calcul d'une premiere exponentiation ; 
5 ladite nrtethode mettant en oeuvre des secondes exponentiations 

modulaires est la ntethode des restes chinois ; 

il est appliqu£ d des nombres cod6s sur plus de 320 bits ; et 

[.'invention a 6galement pour objet un programme d'ordinateur 
comprenant des instructions de code de programme pour Pex6cution de 
10 certaines 6tapes du proc6d6 conforme & I'invention lorsque ledit programme 
est execute sur des moyens principaux de calcul assoctes audits moyens 
materiels de calcul. 

Uinvention a §galement pour objet un systeme d'acc6l6ration du 
temps d'execution du calcul d'un pnoduit de Montgomery par la methode de 
is Montgomery d radix elev§ sur des moyens materiels de calcul, ledit systeme 
comprenant : 

des moyens pour effectuer une premiere operation d'addition entre 
une valeur d'un de plusieurs premiers produits, notes ai . b p et une valeur d'une 

variable, notee u, selon une premiere relation u := u+ai .b ; 
20 des moyens pour effectuer une seconde operation d'addition entre 

une valeur d'un de plusieurs seconds produits, notes m.n, et une valeur de la 

variable u selon une deuxfeme relation u := u + m.n, 

caract6ris6 en ce que les moyens pour effectuer la premiere et la 

seconde op6rations d'addition comportent au moins un additionneur de Carry- 
25 Save ; 

Suivant d'autres caracteristiques et avantages de ce systeme : 
les moyens pour effectuer la premtere et la seconde operations 
d'addition comportent au moins un premier additionneur de Carry-Save adapte 
pour realiser la premiere operation d'addition et un second additionneur de 
3 o Carry-Save (1 58 ; 232) adapte pour r§aliser la seconde operation d'addition. 

il comporte des moyens classiques pour r6aliser une troisieme 
operation de division de la variable u par une puissance de 2, notee 2° ou co 
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est le radix, selon une troisidme relation u :=^-, il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save form6 par 
deux variables, notees C et S et des moyens pour r6aliser la troisidme 
operation de division de la variable u sous la forme d'un couple de Carry-Save 
5 comprenant : 

- des moyens de calcul et de stockage d'une retenue, notee 
R e , qui risque d'Stre perdue par la division de chaque variable C et S par la 
puissance de 2; 

- des moyens de division de chaque variable C et S par la 
10 puissance de 2 ; 

les moyens de calcul et de stockage de la retenue Re comportent 
des moyens d'addition conventionnelle des a> bits de poids faiblede la variable 
C, notes C 0 , aux obits de poids faible de la variable S, notes So, selon une 
quatrfeme relation R e : = C 0 + S 0 ; 
15 il comprend : 

- des moyens de recombinaison de la variable u au moins & 
partir des valeurs des variables C et S du couple de Carry-Save ; 

- des moyens de reduction de la variable u, lesdits moyens de 
recombinaison de la variable u et lesdits moyens de reduction 6tant raccordes 

20 Tun & I'autre de mantere a chevaucher leur fonctionnement sous le controle de 
moyens de commande ; 

le radix o> est 6gal a 4 bits pour optimiser le temps d'ex6cution du 
calcul d'un produit Montgomery sur des variables d'enttee du produit de 
Montgomery cod6es sur 512 ou 1024 bits ; 

25 il comporte des moyens de pr§-calculs des premiers produits at .b ; 

il comporte des moyens de pre-calculs des seconds produits m.n. ; 
lesdits moyens de pre-calculs des premiers et/ou des seconds 
produits comportent un additionneur conventionnel ; 

L'invention a 6galement pour objet un systeme d'acc§l6ration du 
30 temps d'exdcution du calcul d'un premier et d'un second produits de 
Montgomery, caract6ris§ en ce qu'il comporte deux additionneurs de Carry- 
Save activ6s simultan6ment ; 
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Suivant une autre caracteristique du systeme deceleration du temps 
d'execution du calcul d'un premier et d'un second produits de Montgomery, il 
comporte un seul moyen pour recombiner la variable u a partir au moins des 
valeurs de variables C et S du couple de Carry-Save, relie en entree d'un seul 
5 moyen de reduction de la variable u ; 

L'invention a egalement pour objet un un systeme d'acceieration du 
temps d'execution du calcul d'une multiplication modulaire par une methode 
mettant en ceuvre des produits de Montgomery lesdits produits Montgomery 
6tant executes sur des moyens materiels de calcul, caracterise en ce qu'il 
10 comporte au moins un systeme d'acceieration du temps d'execution du calcul 
des produits de Montgomery conforme & 1'invention. 

L'invention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une multiplication modulaire par la methode de 
Montgomery mettant en oeuvre des produits de Montgomery sur des moyens 
15 materiels de calcul, caracterise en ce qu'il comporte au moins un systeme 
d'acceieration du temps d'execution du calcul des produits de Montgomery 
selon Tune des revendications 24 & 34. 

Uinvention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une exponentiation modulaire par une methode 
20 mettant en ceuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme d'acceieration du temps d'execution du calcul 
des multiplications modulaires conforme a Tinvention. 

L'invention a egalement pour objet un systeme d'acceieration du 
temps d'execution du calcul d'une exponentiation modulaire par la methode m- 
25 ary avec une taille de mots de r bits mettant en ceuvre des multiplications 
modulaires, caracterise en ce qu'il comporte au moins un systeme 
d'acceieration du temps d'execution du calcul des multiplications modulaires 
conforme & l'invention . 

Suivant une autre caracteristique du systeme d'acceieration du 
30 temps d'execution du calcul d'une exponentiation modulaire par la methode de 
m-ary , il comporte au moins un registre & decalage a gauche de 5 bits pour 
acceierer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary egale £ 5 bits. 
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Uinvention a 6galement pour objet un systeme d'acc6l6ration du 
temps d'ex6cution du calcul d'une exponentiation modulaire par la methode 
des restes chinois mettant en oeuvre des multiplications modulaires, 
caracteris6 en ce qu'il comporte au moins un systeme d'acc6l6ration du temps 
5 d'execution du calcul des multiplications modulaires conforme & I'invention. 

Uinvention a 6galement pour objet un Systeme d'acceleration du 
temps d'ex6cution du calcul d'une premiere exponentiation modulaire par une 
ntethode mettant en oeuvre des secondes exponentiations modulaires, 
caracteris6 en ce qu'il comporte au moins un systeme d'acceleration du temps 
10 d'ex6cution du calcul des secondes exponentiations modulaires conforme a 
Pinvention. 

Uinvention a 6galement pour objet un systeme d'acc6I§ration du 
temps d'execution du calcul d'au moins une premiere exponentiation modulaire 
par la methode des restes chinois mettant elle-meme en oeuvre des secondes 
15 exponentiations modulaires, caracterise en ce qu'il comporte au moins un 
systeme d'acc§leration du temps d'ex6cution du calcul des secondes 
exponentiations modulaires conforme a I'invention . 

Uinvention a egalement pour objet un composant electronique qui 
comporte au moins un systeme conforme a I'invention . 
20 Suivant une autre caracteristique de ce composant, il est form§ avec 

au moins un FPGA. 

Uinvention a 6galement pour objet une carte Electronique qui 
comporte au moins un systeme conforme £ invention . 

Suivant une autre caracteristique de cette carte electronique, elle 
25 est conforme au standard PCI. 

Uinvention a Egalement pour objet une machine caracterisee en ce 
qu'elle est assoctee a au moins un systeme conforme & I'invention. 

Uinvention a 6galement pour objet un proc6d6 pour acc6lerer le 
temps d'execution du calcul d'une premtere exponentiation modulaire, notee 
30 M E mod nouM est le message d'entr6e, E est I'exposant et n est le modulus, 
sur des moyens principaux de calcul, caracteris6 en ce qu'il comprend en 
outre : 
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- une premiere 6tape de separation du calcul de la premiere 
exponentiation modulaire en deux secondes exponentiations modulaires, en 
appliquant la m§thode des restes chinois, 

- une seconde etape consistant a calculer chacune des 
5 secondes exponentiations modulaires en appliquant la methode m-ary, 

laquelle met en oeuvre des multiplications modulaires, 

- des etapes consistant 3 effectuer les multiplications 
modulaires en appliquant une m6thode mettant en ceuvre des produits de 
Montgomery. 

10 Suivant d'autres caracteristiques et avantages de ce proced6 pour 

acc6lerer le temps d'ex6cution du calcul d'une premiere exponentiation 
modulaire: 

les variables d'entree sont des nombres entiers naturels cod6s sur 
plus de 320 bits ; 

is la taille de mots r de la m6thode m-ary est egale a 5 bits pour 

acc6l§rer le temps d'execution de la methode m-ary lorsque les variables 
d'entr6e du calcul de I'exponentiation modulaire sont codees sur 512 ou 1024 
bits ; 

les calculs des secondes exponentiations modulaires sont effectu6s 
2 o sensiblement en parall6le ; et 

les produits de Montgomery sont calculus en utilisant la m6thode de 
Montgomery & radix 6lev§. 

la m6thode de Montgomery d radix 6lev6 est mise en ceuvre 
conform6ment £ Tun des procedes conforme a I'invention. 
25 Uinvention a 6galement pour objet un programme d'ordinateur 

comprenant des instructions de code de programme pour Pex6cution de 
certaines Stapes d'un proced6 conforme £ I'invention lorsque ledit programme 
est ex6cut6 sur les moyens principaux de calcul. 

Uinvention sera mieux comprise & la lecture de la description qui va 
30 suivre, donn6e uniquement £ t'rtre d'exemple et faite en se r6f6rant aux dessins 
annexes, surlesquels : 

la figure 1 repr6sente le proc6d6 de Montgomery pour effectuer une 
multiplication modulaire ; 
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la figure 2 repr6sente une m6thode pour calculer un produit de 
Montgomery sous sa forme & radix 6lev6 ; 

la figure 3A est un schema 6lectronique d'un additionneur de Carry- 
Save; 

5 la figure 3B est un sch6ma eiectronique d'un additionneur 

conventionnel ; 

la figure 4 est un exemple de division d'un nombre represent6 sous 
la forme d'un couple Carry-Save ; 

la figure 5 repr6sente un proc6de pour calculer un produit de 
10 Montgomery conforme & Tinvention ; 

la figure 6 repr6sente un proc6d6 d'exponentiation modulaire selon 
la methode m-ary ; 

la figure 7 represente un proc6d§ d'exponentiation modulaire 
conforme & I'invention ; 
15 la figure 8 represente la methode des restes chinois ; 

la figure 9 est une vue sch6matique d'un multiplieur de Montgomery 
conforme 3 I'invention ; et 

la figure 10 est une vue sch6matique d'un exponentiateur modulaire 
conforme £ I'invention . 
20 Dans la suite de la description on utilise les notations suivantes : 

- on note D2 le document suivant :Cetin Kaya K05, « RSA 
Hardware Implementation »,qui peut §tre obtenu a la meme adresse que le 
document D1 pr6cedemment cite ; 

- := est le symbole d'affectation, ainsi X :=M signifie qu'on affecte la 
25 valeur d'une variable notee M & une variable notee X ; 

« dec. » indique que le chiffre qui le pr6c6de est en notation 

d§cimale. 

« Composant FPGA » fait reference au composant programmable 
connu du type FPGA (Field Programmable Gate Array). 
30 La figure 1 reprdsente le proc6d6 de Montgomery pour effectuer 

une multiplication modulaire entre une premiere variable d'entr6e not§e «a » et 
une seconde variable d'entr6e not6e « b » selon la relation suivante : 

a. b mod n; 
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oCi a, b et n sont des entiers naturels, n 6tant le modulus. 

La description qui va suivre de ce proc6d6 ne pr6sente que les 
informations necessaires a la comprehension de I'invention. Pour plus 
d'informations le lecteur peut se r6terer, par exemple, au document D1 
5 chapitre 3.8 « Montgomery's method ». 

La multiplication modulaire selon le proc6d6 de Montgomery 
s'effectue en cinq 6tapes successives num6rotees 2, 4, 6, 8 et 10 sur la figure 
1. 

U6tape 2 consiste & calculer la variable n' 0 selon la relation 

10 suivante : 

n o - - no , 
ou: 

- le signe - represente I , op6ration de complement & 1 ; 

- n 0 repr§sente les o> bits de poids faible du modulus n, co 6tant 
15 appete le radix ; 

- n 0 " 1 repr6sente I'inverse de n 0 et est d6fini par la relation n 0 .no" 1 = 1 
mod (2 Q ), cette Equation §tant r6solue par des m§thodes connues telle que 
I'algorithme d'Euclide 6tendu 

L'interet du calcul de n'odans cette §tape apparaitra £ la lecture de 
20 la description de la figure 2. 

Dans la deuxieme etape 4 le residu de Montgomery de la variable 

d'entr§e a, note a , est calculi selon la relation suivante : 

a := a.p mod n 
oCi : 

25 - a est la premiere variable d'entr6e du produit modulaire ; 

- n est le modulus du produit modulaire, 

- p est defini par la relation suivante : p = 2 k , ou k est rentier naturel 
telque:2 k " 1 ^ n <2 k . 

Dans la troisteme 6tape 6 le r6sidu de Montgomery de la variable 

30 d'entree b, note b, est calcul6 selon la relation suivante : 

b := b.p mod n ; 
oO : 
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- b est la seconde variable d'entr6e du produit modulaire ; 

- n est le modulus ; 

- p est identique & la variable p d6finie dans la deuxteme 6tape 4. 
Dans la quatrfeme 6tape 8 le produit de Montgomery entre le r6sidu 

5 a et le r6sidu b est calcule et le resultat est affecte d une variable x selon la 
relation suivante : 

x: = MonPro(a,b) ; 
oCi: 

-a et b sont les r£sidus calcules respectivement aux etapes 4 et 6 ; 
10 - MonPro repr^sente Top6ration produit de Montgomery entre les 

variables a et b. Cette operation sera decrite par la suite en regard de la 
figure 2. 

Dans la cinquiSme 6tape 10 le produit de Montgomery entre la 

variable x et l'unit§ est calcul§ et le resultat est affecte & une variable x selon 
15 la relation suivante : 

x:= MonPro(x,1) ; 
oil : 

- x est la variable calcul6e £ la quatrteme 6tape 8 ; 
- 1 represente I'unite ; 

20 - MonPro repr6sente Pop6ration produit de Montgomery. 

A Tissue de ces cinq etapes 2, 4, 6, 8 et 10 le resultat de la 
multiplication de la premiere variable a par la seconde variable b modulo n est 
obtenu dans la variable x. 

La figure 2 repr6sente la m6thode de Montgomery sous sa forme & 
25 radix 6lev6 pour calculer un produit de Montgomery, 6galement appelee ici la 
m§thode de Montgomery a radix elev6. 

La description qui va suivre de cette m6thode ne presente que les 
informations n6cessaires & la comprehension de Tinvention. Pour plus 
d'informations le lecteur peut se r6f6rer, par exemple, au document D2 
3 0 chapitre 7.5 « High radix Montogmery's method ». 
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Le calcul d'un produit de Montgomery correspond aux operations 
MonPro de la figure 1. Cette operation va Stre pr§sent§e dans le cas particulier 
de l'6tape 8 de la figure 1 , c'est-S-dire qu'on d6crit ici le calcul suivant : 

MonPro(a,b) = a.b. p" 1 mod n; 
5 OCi : 

- a et bsont les residus de Montgomery respectifs des variables a 
et b calcutees aux 6tapes 4 et 6 de la figure 1 ; 

- p" 1 est Tinverse modulo-n de la variable p d6finie lors de la 
description de T6tape 4 de sorte que p" 1 satisfait la relation suivante : p.p" 1 =1 

10 mod n. 

Ce proc&te comporte trois etapes principals 16, 18 et 20. La 
premiere §tape 16 consiste a initialiser une variable u et un indice i selon les 
relations suivantes : u : = 0 ; i : = 0. Elle consiste egalement a pre-calculer des 

premiers produits ai.b qui seront definis en regard de I'operation 24 de ce 
15 proc6d§. 

La deuxfeme 6tape 18 consiste r6it§rer une boucle d'op6rations tant 
que Tindice i n'est pas inferieur ou 6gal a une variable s-1, I'indice i 6tant 
increments a Tissue de chaque iteration de la boucle. Cette boucle 
depurations est notee de fagon conventionnelle « for i=0 to s-1 ». La variable s 
20 qui determine le nombre d'iterations est ici definie par la relation suivante : 

k = s© ; 

ou : 

- k repr6sente le nombre de bits n6cessaires pour coder le modulus 
n f c'est-a-dire que k satisfait la relation : 2 k ~ 1 < n < 2 k ; 

25 - co est le radix . 

Ainsi, si par exemple k = 512 bits et si le radix a = 4 bits, s = 128. 
Par ailleurs si la division de k par le radix © ne donne pas un entier 
naturel, il est possible de rajouter a la representation binaire du modulus n des 
bits de poids fort 6gaux & 0 de maniere d ce que la representation binaire du 
30 modulus n ainsi obtenue contienne un nombre de bits k' qui soit un multiple du 
radix ©. 
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La boucle d'op£rations 18 comporte quatre operations 24, 26, 28 et 
30 successives. 

La premiere operation 24 de la boucle d'operations 18 consiste a 
effectuer une premiere operation d'addition et a affecter le r6sultat £ la variable 
5 u selon la relation suivante : 

u :=u+a/ .b ; 
oO : 

- ai represente les © bits de poids faible de la variable a apr6s un 
/^decalage a droite de © bits de la representation binaire de a, i 

10 correspondant & I'indice i de la variable a\ ; 

- b represente le residu de Montgomery de la variable d'entr6e b ; 

- u est la variable initialisee lors de retape 16. 

On appellera par la suite « les premiers produits » Tensemble des 
valeurs des produits ai . b lorsque la valeur de I'indice i varie de 0 a s-1 . 
15 L'operation 26 suivante consiste 3 affecter £ une variable m le 

resultat de la multiplication d'une variable u 0 par n'o modulo 2° selon la relation 
suivante : 

m : = u 0 . n'omod 2"°; 
ou: 

20 - u 0 represente les © bits de poids faible de la variable u 

prec6demment calcul6e lors de Pop6ration 24; 

- n' 0 est la variable calcuiee lors de retape 2 du procede de la figure 

1 ; 

- (o est le radix . 

25 L'operation 28 consiste a effectuer une seconde operation d'addition 

puis a affecter le r6sultat dans la variable u selon la relation suivante : 
u : = u + m.n 

oO : 

- u est la variable pr§c6demment definie; 

30 - m est la variable calcuiee lors de l'operation 26 ; 

- n est le modulus de la multiplication modulaire de la figure 1 . 
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On appellera par la suite « les seconds produits » Tensemble des 
valeurs des produits m.n possibles lorsque la valeur de m varie de 0 3 2° - 1 . 

Uop6ration 30 consiste a effectuer une operation de division de la 
variable u par une puissance de 2 puis a affecter le r6sultat de la division d la 
5 variable u selon la relation suivante : 

u: = u/2° 

ou : 

- u est la variable prec6demment calcul6e ; 

- 2° est la puissance de 2, © 6tant le radix. 

10 A Tissue de la boucle d'operations 18, Tetape 20 est executee. Cette 

6tape consiste a effectuer une operation de reduction si la valeur de la variable 
u obtenue a Tissue de la boucle d'operations 18 est superieure & n, n 6tant le 
modulus. L'op6ration de reduction consiste d affecter d la variable u le resultat 
de la soustraction u moins n selon la relation suivante : 
15 u : =u-n 

ou u et n sont respectivement la variable calcul6e lors de la boucle 
d'operations 18 et le modulus de la multiplication modulaire de la figure 1. 

On notera que le proc6d6 de Montgomery d6crit aux figures 1 et 2 
transforme des multiplications modulo n, en des multiplications modulo 2° . Or 
20 les multiplications modulo 2® s'ex6cutent beaucoup plus rapidement sur des 
moyens de calcul conventionnels. Toutefois, il est connu que ce gain de 
rapid it§ au niveau des multiplications modulaires est contrebalanc6 par la 
lenteur du calcul des r6sidus a et b lors des Stapes 4 et 6 de la figure 1 . 

La m&hode de Montgomery a radix 6lev6e est couramment utflis6e 
25 avec une valeur du radix egale £ 8, cette valeur correspondant & un octet (mot 
de 8 bits). De fagon surprenante il a 6t6 d6termin§ par des tests que cette 
valeur du radix n'Stait pas Toptimum pour acc6l6rer le temps d'execution du 
calcul d'un produit de Montgomery a radix 6lev6 dans les conditions suivantes : 

- le calcul est effectu6 sur des grands nombres. Par grands 
30 nombres on d6signe des entiers naturels codes en binaire sur au moins 320 

bits. 



WO 02/073450 PCT/FR02/00897 

- le calcul est effectu6 par des moyens materiels de calcul. Par 
moyens materiels de calcul on d6signe ici des composants 6lectroniques, ou 
des ensembles de composants 6lectroniques sp^cialement congus pour 
rSaliser ce calcul. On exclue effectivement de ces moyens materiels 

5 sp6cifiques, des moyens polyvalents de calcul, tel qu'un ordinateur classique 
assocte & un programme permettant de r6aliser ce calcul. 

Les tests suivants ont 6te r6alises pour des variables a, b et n 
cod6es en binaire sur 512 bits, c'est-&-dire pour une valeur de la variable k, 
pr6c6demment d6finie, 6gale & 512 bits. Les tests consistent dans une 

10 premiere 6tape a concevoir des moyens materiels de calcul d'un produit de 
Montgomery selon le proctede de la figure 2. Dans une seconde 6tape les tests 
consistent & determiner le temps d'execution du calcul d'un produit de 
Montgomery selon le proc&te de la figure 2 sur les moyens materiels de calcul 
congus lors de la premiere etape et pour la frequence de fonctionnement 

15 maximale de ces moyens materiels. On notera ainsi dans les exemples 
nunteriques suivants que la fr6quence maximale de fonctionnement des 
moyens materiels de calcul diminue au fur et a mesure que la valeur du radix a> 
augmente. Pour les r6sultats numeriques suivants les moyens materiels de 
calcul sont forntes avec un composant FPGA (Field Programmable Gate Array) 

20 dont la reference est 10K200E-1 . Dans ces conditions les resultats obtenus 
sont les suivants : 

- Pour un radix a> egal £ 2 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 66 MHz. Le temps 
d'ex§cution d'un produit de Montgomery selon le proc6d6 de la figure 2 est de 

2 5 8280 nano-secondes. 

- Pour un radix a> §gal a 3 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 60 MHz. Le temps 
d'execution d'un produit de Montgomery selon le proc6d6 de la figure 2 est de 
6447 nano-secondes. 

30 - Pour un radix © 6gal a 4 bits, la frequence de fonctionnement 

maximale des moyens materiels de calcul est de 50 MHz. Le temps 
d'ex6cution d'un produit de Montgomery selon le proc6d6 de la figure 2 est de 
5940 nano-secondes. 
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- Pour un radix to 6gal £ 5 bits, la frequence de fonctionnement 
maximale des moyens materiels de calcul est de 40 MHz. Le temps 
d'execution d'un produit de Montgomery selon le proc6de de la figure 2 est de 
6475 nano-secondes. 
5 On congoit done a la lecture des resultats de ces tests que pour 

optimiser le temps d'execution d'un produit de Montgomery selon le procede 
de la figure 2 pour des grands nombres codes sur 512 bits le radix doit Stre 
choisi 6gal £ 4 bits. 

De fagon similaire il a ete determine qu'une valeur du radix egale a 
10 4 bits permet egalement d'optimiser le temps d'execution du calcul d'un produit 
de Montgomery selon le proc6d6 de la figure 2 pour des grands nombres 
cod6s sur 1024 bits. 

II existe une autre methode pour calculer des produits de 
Montgomery connue sous le nom de «Methode de Montgomery sous sa forme 
15 simple ». Cette methode correspond a la methode de Montgomery & radix 
6leve dans le cas ou le radix est egal £ 1 bit. Par consequent on ne d6crira pas 
ici cette methode plus en detail, on consid6ra simplement que le la methode de 
Montgomery & radix §leve inclus 6galement le cas ou le radix est 6gal ^ 1 bit. 

Les figures 3A et 3B represented un schema electronique d'un 

2 0 additionneur de Carry-Save et un schema electronique d'un additionneur 

conventionnel. 

Sur ces schemas on note A| ,B| ,Di f Q et Si respectivement les i 4 ™ 6 
bits en partant de la droite de la representation binaire de variables A, B, D, C, 
et S, le bit le plus £ droite de chaque representation binaire ayant un indice i 
25 egal d zero. 

Uadditionneur de Carry-Save de la figure 3A comporte trois cellules 
40, 42 et 44. Ces cellules 40, 42 et 44 sont respectivement raccordees en 
entree a des premiers moyens de stockage (non representes) des bits Aq , B 0 
et Do , des bits Ai , et Di et des bits A 2 , B 2 et D 2 des variables d'entree A, B 

3 0 et D. Elles sont egalement raccordees en sortie respectivement a des seconds 

moyens de stockage (non representes) des bits C 1 et S 0 , C 2 et Si, et C 3 et S 2 
des variables de sortie C et S. 
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La cellule 40 est adaptee pour calculer la valeur du bit S 0 selon la 
relation suivante : 

S 0 : = Ao © Bo © Do 
oCi : 

5 - Ao, B 0 et D 0 sont les bits d'entr6e de la cellule; 

- © represente I'opSration logique « ou exclusif » ; 

La cellule 40 est 6galement adaptee pour calculer la valeur du bit Ci 
selon la relation suivante : 

Ci : = A 0 .B 0 + Ao .D 0 + B 0 .D 0 
io oCi : 

- Ao ,Bo et D 0 ont ete d6finis ci-dessus; 

- + repr§sente l'op6ration logique « ou » ; 
- . repr6sente l'op6ration logique « et ». 

De fagon similaire & la cellule 40, la cellule 42 est adaptee pour 
15 calculer les bits de sortie C 2 et selon les deux relations suivantes ; 
Si : = Ai © Bi © Di ; 
C 2 : = Ai .B n + A, .Di + Bi .Di ; 

De fagon similaire aux cellules 40 et 42, la cellule 44 est adaptee 
pour calculer les bits de sortie S 2 et C3 selon les deux relations suivantes : 
20 S 2 :=A2©B 2 ©D2; 

C 3 : = A2.B2 + A 2 D 2 + B 2 D 2 ; 

L'op6ration qui consiste 3 calculer les bits de sortie des variables S 
et C en fonction des bits d'entr6e selon les relations prec6dentes s'appelle une 
addition de Carry-Save. 
25 On remarquera qu'en sortie de Tadditionneur de Carry-Save, le 

r6sultat de I'addition des trois variables d'entr6e A, B et D est enregistre dans 
les deux variables de sortie C et S, C et S formant ce que Ton appelle un 
couple de Carry-Save, note (C, S). Pour obtenir le rSsultat de Taddition des 
trois variables d'entr6e A, B et D dans une seule variable U, les variables C et 
30 S doivent §tre recombin6es selon la relation suivante : 
U: = C + S 
Ou: 
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- C et S sont les variables du couple du Carry-Save obtenues en 
sortie de I'additionneur de Carry-Save ; 

- + represente I'operation d'addition conventionnelle. 

La methode consistant d additionner les bits des variables d'entree 
5 selon les relations precSdentes pour obtenir un couple de Carry-Save, puis £ 
recombiner les variables du couple de Carry-Save pour obtenir le r6sultat final 
de I'addition des variables d'entree est connue sous le nom de « la methode 
de Carry-save ». Ainsi la methode de Carry-Save se compose d'une operation 
d'addition de Carry-Save suivie d'une operation de recombinaison du couple 
10 de Carry-Save. 

On note X le temps d'ex6cution du calcul de C 1 et S 0 par la cellule 
40. On suppose que le temps d'ex6cution du calcul de C 2 et Si et de C3 et S 2 
par leurs cellules respectives 42 et 44 est egalement 6gal & X. Dans ces 
conditions, le temps d'execution de I'addition de Carry-Save entre les trois 
15 variables d'entr6e A, B et D est egal a X. En effet les bits des representations 
binaires des variables A, B et D sont traites en paralieie par les cellules 40, 42 
et 44. Ce r6sultat peut §tre generalise a des additionneurs de Carry-Save 
comportant de nombreuses cellules, de maniere § pouvoir r6aliser des 
additions de Carry-Save sur des grands nombres comme definit 
20 pr6cedemment. 

On notera qu f un additionneur de Carry-Save peut egalement etre 
realise par des moyens logiciels tels qu'un programme permettant de mettre en 
oeuvre des traitements en paralieie des operations d'addition de Carry-Save. 

La figure 3B represente un additionneur conventionnel adapte pour 
25 realiser I'addition conventionnelle de deux variables d f entree A et B et pour 
stacker le r6sultat dans une variable de sortie S. 

Cet additionneur conventionnel comporte trois cellules 48, 50, 52. 
La cellule 48 est raccord6e a la sortie de premiers moyens de 
stockage (non repr6sentes) des bits Ao et Bo et & I'entree de seconds moyens 
30 de stockage (non representes) du bit So. Elle est egalement raccord6e £ une 
entree de la cellule 50. Cette cellule 48 est adaptee pour additionner de fagon 
conventionnelle les bits A 0 et B 0 et pour transmettre la retenue de cette 
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addition a la cellule 50. Le r£sultat de cette addition est stocks dans les 
seconds moyens de stockage du bit So. 

La cellule 50 est raccorctee d la sortie de premier moyens de 
stockage (non repr6sent6s) des bits Ai et Bi et a Tentr6e de seconds moyens 
5 de stockage (non represents) du bit Si. Elle est 6galement raccordSe a une 
entr6e de la cellule 52. Cette cellule 50 est adaptee pour additionner les bits Ai 
et Bi et pour transmettre la retenue de cette addition & la cellule 52. Le resultat 
de cette addition est stock£ dans les seconds moyens de stockage du bit Si. 

La cellule 52 est raccordee a la sortie de premiers moyens de 
10 stockage (non repr£sent6s) des bits A2 et B2 et d rentr§e de second moyens 
de stockage (non represents) des bits S2 et S3. Cette cellule 52 est adaptee 
pour additionner les bits A 2 et B 2 , le r6sultat et la retenue de cette addition 
etant stockes dans les seconds moyens de stockage, respectivement dans les 
bits S 2 et S 3 . 

15 On note X le temps d'ex6cution du calcul de So par la cellule 48 et 

Ton suppose que le temps d'ex6cution du calcul de Si et de S2, S 3 
respectivement par les cellules 50 et 52 est identique a celui de la cellule 48. 
On remarque & la lecture de la description de cet additionneur conventionnel 
que Tex6cution du calcul de Si par la cellule 50 ne peut commencer que 

20 lorsque la cellule 48 a transmis la retenue de I'addition des bits Ao et B 0 , c'est- 
a-dire lorsque le calcul de S 0 est termini. De meme Pex£cution du calcul de S 2 , 
S 3 par la cellule 52 ne peut commencer que lorsque la cellule 50 a fini le calcul 
de Si. Par consequent I'addition des deux variables d'entree A, B par 
I'additionneur de la figure 3B, n6cessite un temps d'execution de 3A,. 

25 On congoit d£s lors que pour additionner trois variables d'entr6e A, 

B et D a Taide de I'additionneur conventionnel de la figure 3B, le temps 
d'ex^cution du calcul est de 3^ pour une premiere addition de A & B auquel il , 
convient de rajouter 3A,, correspondant au temps d'ex6cution d'une seconde 
addition entre le r6sultat de la premiere addition et la variable D. Ainsi la 

30 realisation d'une addition entre trois variables d'entree A, B et D £ Taide de cet 
additionneur conventionnel necessitent un temps de 6A,. 
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On verifie bien £ I'aide de cet exemple simplifie que le temps 
d'execution d'une addition conventionnelle est proportionnel aux nombres de 
bits des variables d'entree. 

A titre de comparaison on suppose que le temps d'execution X est le 
5 m§me pour les cellules 40, 42, 44, 48, 50 et 52 des figures 3A et 3B. Ainsi, 
une addition de Carry-Save entre les variables A, B et D & I'aide de 
I'additionneur de Carry-Save s'ex6cute en un temps de X. Pour obtenir le 
resultat de I'addition dans une seule variable, les variables C et S doivent §tre 
recombinees en effectuant une operation d'addition conventionnelle entre 
10 celles-ci qui s'exScute en un temps de 3A,. Le temps total pour executer 
Taddition des variables A, B et D en mettant un oeuvre un additionneur de 
Carry-Save est alors 6gal a 4X, contre 6X dans le cas ou Ton n'utilise que des 
additionneurs conventionnels. 

On realise egalement a la lecture de la description pr6c6dente que 
15 le gain de temps realise gr§ce a la mise en oeuvre d'additionneurs de Carry- 
Save est d'autant plus important que les additions sont realisees sur des 
grands nombres. En effet, le temps d'execution d'une addition conventionnelle 
est proportionnel au nombre de bits des variables d'entree, ce qui n J est pas le 
cas pour une addition de Carry-Save. 
2 0 Toutefois il est connu que I'utilisation d'additionneurs de Carry-Save 

ne presente d'interet que pour r§aliser des additions entre trois variables 
d'entr6e. De plus le rSsultat obtenu en sortie d'un additionneur de Carry-Save 
se pr6sente sous la forme d'un couple de Carry-Save ce qui n6cessite de 
recombiner les variables de sortie C et S par une addition conventionnelle, 
25 limitant ainsi I'interet d'un additionneur de Carry-Save. II a 6galement 6te 
r6alis6 qu'il est difficile d'effectuer des operations arithm6tiques sur une 
variable representee sous la forme d'un couple de Carry-Save. Par exemple on 
ne peut pas simplement effectuer une operation de division par une puissance 
de 2, notee 2* , d'un couple de Carry-Save selon la relation suivante : 
30 (C, S)/2 m : = (C/2 0 , S/2°) 

ou C et S sont les variables du couple de Carry-Save. 
Cette difficult^ est illustree sur I'exemple de la figure 4 ou : 
C = 0110 0000 0010 ;et 
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S = 01001001 1110. 

En recombinant les variables C et S selon la relation C+S on obtiept 
le r6sultat suivant : 

C+S= 10101010 0000 (= 680 d6c.) 
5 En divisant le couple de Carry-Save recombine C+S par une 

puissance de deux, ici 16, on obtient alors le r6sultat suivant : 

(C+S) /16 = 10101010 (= 170 dec.) 

Maintenant si Ton effectue le meme calcul mais en inversant Pordre 
des operations, c'est-S-dire que Ton realise d'abord Toperation de division et 
10 ensuite Top6ration de recombinaison, on obtient alors successivement les 
r§sultats numeriques suivants : 

C/16 = 0110 0000; 

S/16 = 0100 1001 ; 

C/16 + S/16 = 1010 1001 (=169 dec.) 
is On remarque done que la simple division de chaque variable C et S 

par une puissance de deux ne permet pas d'obtenir le resultat exact II est 
done necessaire de recombiner le couple de Carry-Save (C,S) avant 
d'ex6cuter une division d'une variable stockee sous la forme d'un couple de 
Carry-Save. II n'existe pas dans l'6tat de la technique actuel de solution 

2 o connue & ce probieme. 

A la lecture des inconvenients connus des additionneurs de Carry- 
Save, on con$oit qu'il n'est pas evident de mettre en oeuvre ces additionneurs 
dans le cadre du calcul d'un produit de Montgomery. En effet les precedes 
connus de calcul d'un produit de Montgomery ne font intervenir que des 
25 operations d'additions entre deux variables et non pas trois. De plus ces 
proced£s connus comportent, notamment dans la cas de la methode a radix 
6lev£, des operations arithmetiques qui ne peuvent pas etre realisees sur des 
couples de Carry-Save, telles que l'op6ration 30 de la figure 2. 

La figure 5 repr£sente un proc6d6 conforme ^ I'invention pour 

3 0 calculer un produit de Montgomery entre deux variables d'entree, notees a et 

b , correspondant aux rSsidus calculus lors des etapes 4 et 6 du procSde de la 
figure 1. On utilise pour presenter ce proc6d6 les memes notations que celles 
definies en regard de la figure 2. 
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La figure 5 comporte trois 6tapes principales 70, 72 et 74 
successives, l'6tape 70 6tant une etape d'initialisation, l'6tape 72 etant une 
etape deration d'une boucle d'operations, et I'etape 74 etant une 6tape de 
recombinaison et de reduction de resultat. 
5 L'6tape 70 d'initiaiisation consiste a initialiser les variables 

n6cessaires pour le calcul du produit de Montgomery selon les relations 
suivantes : 



C1 


: = 0 


S1 


: =0 


C2 


: = 0 


S2 


: = 0 


R: 


= 0; 


Ou 





- C1 et S1 sont les variables d'un premier couple de Carry-Save 
15 note (C1 , S1 ) ; 

- C2 et S2 sont les variables d'un second couple de Carry-Save note 

(C2, S2) ; 

- R est une variable de stockage et de cumul de retenue dont 
I'interdt apparaltra a la lecture de la suite de la description. 

20 L'6tape 70 consiste §galement a pr6-calculer les premiers produits 

a; .b d6finis en regard de Top6ration 24 de la figure 2. 

Pour cela on multiplie b par toutes les valeurs possibles de ai , 

c'est-a-dire les entiers naturels compris entre 0 et 2®- 1 . 

La deuxieme etape 72 consiste & r6iterer une boucle d'operations 
25 tant qu'un indice, note i, n'est pas sup6rieur ou 6gal a une variable s-1 , I'indice 

i 6tant increments a Tissue de chaque iteration de la boucle. Cette boucle 

d'op£rations est notee de fagon conventionnelle « for i=0 to s-1 ». La variable s 

qui determine le nombre derations est definie de fa?on analogue d celle de 

I'etape 18dela figure 2. 
30 La boucle d'op6rations 72 comporte quatre operations 76, 78, 80 et 

82 successives. 
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[-'operation 76 consiste a effectuer une premiere operation 
d'addition de Carry-Save entre les variables C2 divis6e par 2°, S2 divisee par 
2 ro et un des premiers produits a r b definis en regard de Toperation 24 de la 

figure 2. Cette operation d'addition est realisee a I'aide d'un additionneur de 
5 Carry-Save selon la relation suivante : 

(C1 , S1) : = C2/2 tD + S2/2 a> + a,.b 

ou : 

- co est le radix ; 

- (C1, S1) est le premier couple de Carry-Save forme par les 
10 variables C1 etS1; 

- a r b est un des premiers produits; 

- C2 et S2 sont les variables du second couple de Carry-Save (C2, 

S2). 

On remarquera que cette operation 76 remplit la m£me fonction que 
15 les operations 24 et 30 de la figure 2 mais la premiere operation d'addition est 
realisee & I'aide d'un additionneur de Carry-Save. 

L'operation 78 consiste a realiser I'addition conventionnelle des 
variables C1 0 , S1 0 et (R^Jo puis 3 affecter le resultat de cette operation a une 
variable m, selon la relation suivante : 
20 m:=(C1o + S1 0 +(R/2 a) )o).n , o 

0C1 : 

- C1 0 et S1o represented les © bits de poids faible respectivement 
des variables C1 et S1 , co etant le radix. 

- (R/2°)o repr§sente les © bits de poids faible du resultat de la 
25 division de R par 2 m , a etant le radix; 

- n' 0 est la variable calcuiee lors de retape 2 du procede de la figure 

1; 

- m est une variable dans laquelle le resultat est stocke. 
(-'operation 80 consiste a effectuer une seconde operation d'addition 

30 entre les variables C1, S1 et un des seconds produits m.n definis en regard de 
l'operation 28 de la figure 2. Cette addition est realisee par un additionneur de 
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Carry-Save et le resultat est affecte aux variables C2, S2 du second couple de 
Carry-Save selon la relation suivante : 

(C2, S2): = C1+S1+m.n 

ou: 

5 - C1 et S1 sont les variables pr6c6demment calculees ; 

- m.n est Tun des seconds produits ; 

- S2 et C2 sont les variables du second couple de Carry-Save. 

On notera que I'operation 80 remplit la mSme fonction que la 
seconde operation d'addition 28 de la figure 2 mais elle est r6alisee ci Taide 
10 d'un additionneur de Carry-Save. 

[.'operation 82 consiste a calculer la variable R en additionnant de 
fagon conventionnelle les variables C2o, S2 0 , et la valeur de la variable R. Le 
resultat est affecte a la variable R selon la relation suivante : 
R: = C2 0 + S2 0 + R 
15 Ou : 

- C2 0 , S2 0 sont respectivement les co bits de poids faible des 
variables C2 et S2, <o etant le radix; 

- R est la variable de stockage et de cumul de retenues. 

En effet, il a 6te decouvert que la difference de resultat entre 
20 Toperation (C2+S2)/2 <D et l'op6ration (C2/2* + S2/2°), telle qu'illustr6e par 
Texemple de la figure 4, est egale ^ la retenue de Top6ration C2 0 + S2 0 . On 
appelle done ici « la retenue qui risque d'Stre perdue par la division de chaque 
variable C2 et S2 par une puissance de 2, not6e 2 m », la retenue de l'op6ration 
C2o + S2 0 . Cette operation 82 calcule done la retenue qui risque d'etre perdue 
25 par la division de chaque variable C2 et S2 du second couple du Carry-Save 
par la puissance 2 ro lors de Toperation 76. De plus, ici, Toperation 82 cumule la 
retenue de Taddition de C2 0 + S2 0 a chaque iteration de la boucle d'opSrations 
72 pour un usage ulterieur lors de Tetape 74. 

L'etape 74 de recombinaison et de reduction se compose d'une 
30 operation 84 de recombinaison suivie d'une operation 86 de reduction. 

L/operation 84 consiste & realiser une addition conventionnelle entre 
la variable C2 divis6e par 2®, la variable S2 divisee par 2® et la variable 
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R divis§e par 2°\ le resultat etant affecte a une variable u selon la relation 
suivante : 

u: = C2/2 <D +S2 /2° + R/2° 
OCi: 

5 - © est le radix ; 

- C2, S2 et R sont les variables pr6cedemment calcuiees lors de la 
boucle d'op§rations 72; 

- u est une variable de stockage du resultat de TopSration. 

10 On notera que cette operation est une combinaison des operations 

suivantes : 

- Une division par 2 m de chaque variable du couple du Carry-Save 

(C2, S2). 

- Une operation d'extraction du cumul des retenues calcul6es 
15 pendant I'exScution de la boucle d'op6rations 72, cette operation etant rSalisee 

en d£calant a droite de g> bits la variable R. 

- Une operation de recombinaison du second couple du Carry-Save 
(C2, S2), calculi pendant Texecution de la boucle d'op6rations 72. 

- Une operation d'addition au second couple de Carry-Save 
20 pr6cedemment recombine du cumul des retenues qui auraient ete perdues si 

elles n'avaient pas 6te stockees et cumulees dans la variable R lors de 
I'exScution de la boucle d'op6rations 72. Cette operation permet ainsi de 
restituer la veritable valeur du resultat a Tissue de la boucle d'operations 72 
malgre des operations de division de chaque variable d'un couple de Carry- 
25 Save. 

L'op6ration 86 consiste a r6aliser une operation de reduction si la 
variable u est sup6rieure au modulus n selon la relation suivante : 
u : = u - n 

oCj u est le r6sultat du produit de Montgomery. 
3 0 Cette operation est notee de fagon conventionnelle : « If u > n then 

u : = u - n . » 

Le proc6d6 de calcul d'un produit de Montgomery conforme & 
Tinvention est nettement plus rapide que le proc6de connu de la figure 2. En 
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effet la premiere et la seconde operations d'addition 76 et 80 sont realisees a 
I'aide d'additionneurs de Carry-Save alors que dans le procede connu les 
premiere et seconde operations d'addition 24 et 28 sont realis6es £ I'aide d'au 
moins un additionneur conventionnel. De plus le proc6de de la figure 5 d6voile 
5 une methode pour realiser une division d'une variable representee sous la 
forme d'un couple de Carry-Save par une puissance de 2, ce qui 6vite une 
etape de recombinaison du couple de Carry-Save avant d'executer cette 
division. Cette acceleration du temps d'ex6cution du produit de Montgomery 
est d'autant plus sensible que les variables d'entree a , b et n sont grandes 

10 c.a.d. codees sur un nombre de bits importants. (superieur 3 320 bits) 

On notera que les operations 78 et 82 comportent des additions sur 
des petits nombres codes sur co bits et qu'une optimisation du temps 
d'execution de ces deux operations n'a pas d'effet sensible. 

Par ailleurs les operations 84 et 86 sont ex6cut6es moins 

15 frequemment que les operations de la boucle 72, par consequent une 
optimisation de leur temps d'execution, bien que possible, n'a pas autant 
d'effet que celle des operations de la boucle 72. Toutefois, en variante ces 
operations sont acc6l6rees. Un mode de realisation de cette variante sera 
pr6sente en regard de la figure 9. 

20 Dans une autre variante Tensemble des seconds produits m.n sont 

calcuies avant d'executer la boucle d'op6rations 72 et stockes dans une 
memoire. Ainsi les operations de calcul des premiers produits a r b et des 

seconds produits m.n pendant la boucle d'op6rations 72 sont remplac6es par 
des operations de selection des resultats de ces calculs dans ladite memoire . 

25 En variante le radix o est choisi egal a 4 bits de maniere a optimiser 

le temps d'execution du produit de Montgomery entre des variables d'entr6e 
codees sur 512 ou 1024 bits sur des moyens materiels de calcul. En effet, il a 
ete determine de fa$on similaire & ce qui a 6te d6crit en regard du procede de 
la figure 2 que pour de telles variables d'entr6e une valeur du radix © 6gale & 4 

3 o bits acceiere le temps d'execution du calcul du produit de Montgomery. 

De preference le mode de realisation sera une combinaison du 
procede de la figure 5 et des deux variantes decrites ci-dessus. 
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La figure 6 represente un proc6d6 de calcul d'une exponentiation 
modulaire selon la methode m-ary, pour effectuer le calcul suivant : 
M E mod n 
Ou: 

5 - M, E et n sont des entiers naturels codes en binaire sur k bits au 

maximum, 

- M est le message ; E est I'exposant ; et n est le modulus. 

La methode m-ary pour calculer une exponentiation modulaire etant 
connue, la description qui suit n'a pour but que d'introduire les elements 
10 necessaires 3 la comprehension de Invention. Le lecteur se r6f6ra au 
document D1 chapitre 2.4 « The m-ary Method » pour des informations plus 
detainees. 

La figure 6 comporte quatre stapes successives 90, 92, 94 et 96. 
L'etape 90 consiste a calculer et a enregistrer dans une m6moire les 
15 exponentiations de la variable M suivantes : 
M a mod n ; 
Ou: 

- M est le message ; 

- a est un exposant ; 
20 - n est le modulus. 

L'exponentiation precedente est calcuiee pour toutes les valeurs de 
I'exposant a comprises entre 2 et m-1, m etant egal a 2 r , ou r est un 
parametre predefini par I'utilisateur. Cette etape est representee de fagon 
conventionnelle sur la figure 6 par le symbole « M a mod n for all a = 2, 4, ....m- 
25 1 ». 

L'etape 92 consiste a decouper la representation binaire de 
Texposant E en s' mots de r bits, notes chacun F, , oO i est un indice du mot et 

varie de 0 pour le mot le plus d droite de la representation binaire de E a s f -1 
pour le mot le plus § gauche de cette meme representation binaire. s' est 
30 calcuie selon la relation suivante : 
k = s' . r 
O0: 
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- k est le nombre de bits de la representation binaire de E; 

- r est le parametre pred6fini. 

Si k n'est pas divisible par r # des bits 6gaux a 0 sont ajoutes a 
gauche de la representation binaire de Texposant E pour obtenir une 
5 representation binaire comportant un nombre de bits divisible par le parametre 
r. Par exemple, si r et k sont respectivement egaux a 5 et 512 bits alors 3 bits 
de valeur nulle sont ajoutes sur la gauche de la representation binaire de 
I'exposant E pour obtenir une representation binaire comportant 515 bits ce qui 
permet d'obtenir s'egale 103. 
10 On obtient les differents mots F, , par exemple, par des operations 

successives de d6calage a gauche de I'exposant E de r bits dans un registre a 
decalage a gauche. 

L'etape 94 consiste a calculer M' 7 '-* 1 mod n et & affecter le resultat a 
une variable C selon la relation suivante : 
15 C : = M F ' M mod n ; 

OCi: 

- n est le modulus ; 

- Fs'-i est le (s'-1) enieme mot determine lors de retape 92 ; 

- M est le message ; 

20 - C est la variable dans laquelle est stocke le resultat de I'operation 

94. 

L'etape 96 consiste a r6iterer une boucle d'op6rations tant que 
Tindice i initialise & la valeur de s'-2 n'est pas inferieur ou 6gal £ 0, Tindice i 
etant d6cremente S Tissue de chaque iteration de la boucle. Cette boucle 
25. d'operations est not6e de fa?on conventionnelle « for i=s'-2 downto 0 ». La 
variable s 1 qui determine le nombre ^iterations a 6te definie prec6demment. 

Cette boucle d'operations comporte deux operations 98, 100 
successives. 

L'operation 98 consiste 3 calculer une exponentiation modulaire de 
30 la variable C puis & affecter le r6sultat dans la variable C selon la relation 
suivante : 

C : =C r mod n 
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OCi: 

- C est la variable initialise lors de Tetape 94 ; 

- r est le parametre pr6defini; 

- n est le modulus. 

5 ^operation 100 consiste e calculer une multiplication modulaire de 

la variable C, pr6cedemment obtenue lors de Toperation 98, par la variable M F/ 
si le mot F , est different de 0 selon la relation suivante : 

G: = C. M^modn 
Ou: 

10 - n est le modulus ; 

- F, est le mot d'indice i determine lors de Tetape 92 ; 

- C est la variable pr§c6demment calculee lors de Toperation 98. 
Cette operation est representee de fa$on classique sur la figure 6 

par le symbole « If F . *0 Then C : = C. M Fl mod n ». 
15 A Tissue de Tex6cution de la boucle d'op6rations 96, la variable C 

contient le resultatde Texponentiation modulaire du message M. 

La m6thode de m-ary decrite ci-dessus pour calculer une 
exponentiation modulaire met en oeuvre approximativement 6 operations de 

2 o multiplication modulaire, 8 etant calcuie par la relation suivante : 

5 = 2 r -2 + k-r + (k/M)(1-1/2 r ) 
Ou: 

- k est le nombre de bits de Texposant E ; 

- r est le parametre pr6defini. 

25 Ceci represente une reduction du nombre d'op6rations par rapport 3 

d'autres precedes connus tels que Talgorithme binaire LR, de 17 a 18 % 
lorsque Texponentiation porte sur des grands nombres codes sur 512 ou 1024 
bits. Toutefois certaines methodes sont connues pour etre encore plus rapides, 
telles que par exemple Talgorithme binaire RL qui permet un paralieiisme des 

3 0 operations. Cependant il a 6te determine de fagon experimental que la 

methode m-ary pour un parametre r choisi egal a 5 bits est un compromis 
optimal entre le nombre d'op6rations de multiplication modulaire effectuees et 
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les ressources n6cessaires pour mettre en ceuvre cette methode. Par 
ressources on designe par exemple le nombre de cellules d'un composant 
FPGA. 

La figure 7 illustre un procSde de calcul d'une exponentiation 
5 modulaire conforme £ I'invention illustr6 dans le cas du calcul de 
I'exponentiation suivante : 
M E mod n 
Ou : 

- M, E et n sont des entiers naturels cod6s en binaire sur 512 bits au 
10 maximum ; 

- M est le message : 

- E est Texposant ; et 

- n est le modulus 

Le proc6d6 d' exponentiation modulaire conforme a I'invention met 
15 en oeuvre la methode m-ary dans laquelle les multiplications modulaires sont 
r6alis6es selon le proc6d6 de Montgomery d6crit en regard de la figure 1 . Les 
produits de Montgomery mis en ceuvre par le proced6 de Montgomery sont, 
par exemple, calculus selon le proc6d6 de la figure 5 avec un radix 6gal £ 4 
bits. De plus dans le cas particulier d6crit ici le param&re r de la m6thode de 
20 m-ary est choisi 6gal a 5 bits de manure a acc6lerer le temps d'execution du 
calcul de I'exponentiation pour des variables d'entree codees sur 512 ou 1024 
bits. 

Ce proc6de comporte sept Stapes 110, 112, 114, 116, 118, 120 et 
122 successives. 

25 L'Stape 110 consiste a calculer le residu de Montgomery du 

message M selon la relation suivante : 

M : = M.p mod n 
oO : 

- M est le message; 

30 - p est le paramStre de la m6thode de Montgomery d6fini lors de 

T6tape 4 du proc<§d6 de la figure 1 selon la relation suivante : p = 2 k , oli k est le 
nombre de bits du modulus n ; 

- n est le modulus ; 
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- M est la variable dans lequel est en registry le r6sidu du message 

M. 

Le calcul du residu de M s'effectue par des m6thodes classiques 
telles que Palgorithme d'Euclide 6tendu. 
5 L'6tape 112 consiste £ calculer la variable n' 0 selon la relation 

suivante n'o = - n 0 ~ 1 . Ce calcul ayant d6ja 6t6 decrit en regard de l'6tape 2 de 
la figure 1 il ne sera pas d6crit ici plus en detail. Ce calcul s'effectue Sgalement 
par des m6thodes classiques telles que ralgorithme d'Euclide etendu. 

L'6tape 114 consiste & calculer Pensemble des seconds produits 
10 m.n. Pour cela le produit m.n est calculi pour chaque valeur de m comprise 
entre 0 et 15. En effet, Pexamen de I'opSration 26 de la figure 2 montre que m 
est congru & u 0 . no modulo 2®, de sorte que la valeur de m ne peut etre 

comprise qu'entre 0 et 15 lorsque le radix © est 6gal a 4 bits. 

L'6tape 116 consiste a 6lever & la puissance a le r£sidu M au sens 
is de Montgomery, pour I'ensemble des differentes valeurs de a comprises entre 
2 et 31. En effet le param^tre r de la methode m-ary est ici egal a 5 bits, il 
decoule de l'6tape 90 du proced6 de la figure 6 qu'il n'est pas nScessaire de 
calculer les puissances Msuperieures & 31. Cette 6tape 116 est par exemple 
realisee par trente et un produits de Montgomery successifs selon la relation 

2 0 suivante: 

M a = MonPro (M,M a " 1 ) 

od MonPro d6signe un produit de Montgomery calculi par exemple 
selon le proc6d6 de la figure 5. 

Lors de cette 6tape, les operations suivantes sont successivement 
25 effectu6es : 

M 2 : = MonPro (M ,M ), oCi M a 6t6 calcul6 lors de l'6tape 110; 

M 3 : = MonPro (M, M 2 ), oO M 2 a 6te calculi lors de l'op6ration 
pr6cedente ; 

etc ... 

3 o Ainsi on obtient successivement M 2 jusqu'S M 31 . 
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U6tape 1 18 consiste & d6couper I'exposant E en une succession de 
mots de 5 bits appeies F, conform6ment a I'etape 92 de la methode m-ary 
decrite en regard de la figure 6. Ensuite, toujours dans I'etape 1 18, la valeur de 

M est affectee £ une variable C selon la relation suivante : 

5 C:=M F102 

OCi F 10 2 est le 102 enieme mot Fj tel que defini en regard de I'etape 
94 de la figure 6. 

On notera que lors de cette etape, M n'a pas besoin d'etre 
calcuie puisque ce calcul a d6j& 6t6 effectue lors de I'etape 116. 

10 L' etape 120 consiste & r6it6rer une boucle d'op6rations tant qu'un 

indice i initialise a la valeur 101 n'est pas strictement inf6rieur £ 0, I'indice i 
etant d6cremente de 1 a chaque iteration de la boucle d'operations. La valeur 
initial de Pindice i est calculee conformement £ I'etape 96 de la figure 6 pour un 
parametre r de la methode m-ary egal & 5 bits et une valeur de la variable k 

15 6gale a 515 bits. 

La boucle d'operations se compose de deux operations successives 
126 et 128. 

L'op6ration 126 consiste & calculer et £ stacker rei6vation & la 
puissance 32 de la variable C selon la relation suivante : 
20 C: = C 32 

OCi: 

-C est la variable initialis£e £ I'etape 118; 

32 est calcuie conform6ment & I'operation 98 de la methode m-ary 
de la figure 6, selon la relation 32= 2 5 , ou 5 est la valeur du parametre r de la 
25 methode m-ary. 

L'operation 128 consiste a calculer le produit de Montgomery de la 

variable C par la variable M F 1 et 3 stacker ce r6sultat selon la relation 



suivante 



C : = MonPro(C,M F| ) 



3 0 ou : 
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- M F 1 est s6lectionn6 parmi les puissances de M calculees a l'6tape 
1 1 6 connaissant la valeur de F| ; 

- MonPro dSsigne I'operation produit de Montgomery, par exemple 
ex6cutee conform§ment au proc6d6 de la figure 5. 

5 On notera que cette operation 128 comporte 6galement un test de 

la valeur de Fi de maniere & executer le produit de Montgomery que si la 
valeur de F\ est differente de 0. 

En variante le produit de Montgomery est syst6matiquement 
execute pour 6viter le test de la valeur de Fi. 
10 A Tissue de I'etape 120, l'6tape 122 est ex6cutee. Cette 6tape 

consiste a calculer le produit de Montgomery entre la variable C et I'unite 1 et 
§ stacker ce resultat, selon la relation suivante 

C:= MonPro (C, 1) 

Ou : 

15 - C est la variable calcutee £ l'6tape 120 ; 

1 repr6sente I'unite ; 

C est une variable dans laquelle est enregistree le resultat de 
I'exponentiation modulaire du message d'entr^e M. 

On remarque que la combinaison de la m6thode m-ary et du 
20 proc6d6 de Montgomery pour calculer des multiplications modulaires est 
particulierement interessant dans le cas du calcul d'une exponentiation 
puisque le residu de Montgomery du message d ? entr6e M n'est calcul6 qu'une 
seule fois. Uinconv6nient du procSde de Montgomery, c'est-Si-dire la n6cessit6 
de calculer les r^sidus des variables d'entree avant d'effectuer des produits de 

2 5 Montgomery est ainsi limits. Cette combinaison de la m§thode m-ary et du 

proc6d6 de Montgomery permet done d'acc6lerer le temps d'execution du 
calcul d'une exponentiation modulaire. 

En variante on peut 6galement combiner le proc6de de la figure 7 3 
la m6thode des restes chinois (6galement appel6e m6thode CRT). La m6thode 

3 0 des restes chinois est succinctement d6crite a la figure 8. Cette m6thode 6tant 

connue, le lecteur se r6f6rera pour plus de detail au chapitre 4.1: « Fast 
Decryption using CRT » du document D1 . 
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La methode des restes chinois permet de decomposer une premiere 
operation d'exponentiation modulaire en deux secondes operations 
d'exponentiation modulaire avec des exposants et des modulus plus petits. 

La premiere exponentiation modulaire est not6e comme suit : 
5 M E modn 

ou : 

- M est un message d'entree; 

- E est un exposant; 

- n est un modulus se decomposant sous la forme d'un produit tel 
10 que n=P.Q, ou P et Q sont des entiers naturels premiers. 

Dans une premiere etape 130, cette premiere exponentiation est 
decomposee en deux secondes exponentiations respectivement modulo E1 et 
E2 que Ton calcule separ6ment, selon les relations suivantes : 

M1 : = M E1 mod P 
15 M2: = M E2 modQ 

ou : 

- M est le message d'entree ; 
-E1 =Emod (P-1); 

-E2 = Emod (Q-1); 

20 - M1 et M2 sont des variables de stockage des resuitats 

intermediaires. 

Dans une etape 134 suivante, le r6sultat de la premiere 
exponentiation modulaire est obtenu en combinant les variables M1 et M2 
precedemment calcuiees, selon la relation suivante : 
25 M : = M2 + [(M1 - M2). (CT 1 mod P) mod P]. Q 

Ou: 

- M1 et M2 sont les variables calcuiees a I'etape 130; 

- Q et P sont les nombres premiers tels que n = P.Q. 

k etant le nombre de bits n6cessaires pour coder le modulus n, il est 
30 possible de choisir P et Q tel que P et Q aient un nombre de bits sensiblement 
egal e k/2. Dans ces conditions, on estime que la methode des restes chinois 
permet de r6duire d'un facteur 4 le nombre d'op6rations requises pour calculer 
la premiere exponentiation, lorsque celle-ci est mise en oeuvre par des moyens 
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logiciels de calcul. Ce facteur est de I'ordre de 2 lorsque la methode des restes 
chinois est mise en oeuvre par des moyens materiels de calcul tels qu'un 
composant FPGA. De plus, pour acc6l6rer le temps d'execution du calcul de la 
premiere exponentiation, les calculs des variables M1 et M2 peuvent etre 
5 effectu6s en paralieie. 

On notera que cette methode permet ainsi de decomposer une 
premiere exponentiation modulaire portant sur des grands nombres codes sur 
1024 bits en deux secondes exponentiations modulaires portant sur des 
grands nombres cod6s sur 512 bits. 

10 Des estimations de temps de calcul d'une premiere exponentiation 

modulaire ont 6te effectu6es dans les conditions suivantes : 

- la premiere exponentiation modulaire portant sur des grands 
nombres de 1024 bits est d6compos6e en deux secondes exponentiations 
modulaires de 512 bits chacune. 

is - chacune des secondes exponentiations modulaires est calcuiee 

selon le procede de la figure 7 dans lequel les produits de Montgomery sont 
calculees selon le proc6d6 de la figure 5. 

Dans ces conditions lorsque le proc6d6 est mis en oeuvre par un 
composant FPGA travaillant £ 40 MHz le temps d'execution du calcul de la 

20 premiere exponentiation est sensiblement 6gal & 4.71 milli secondes. 

Dans les m§mes conditions mais pour des grands nombres codes 
sur 1024 bits il a ete determine que le temps d'execution du calcul d'une 
premiere exponentiation est sensiblement egal a 17.8 milli secondes 

La figure 9 reprSsente schematiquement des moyens materiels de 

25 calcul 150 conforme & Tinvention. Ces moyens materiels sont appel6s ici 
« multiplieur de Montgomery ». Sur cette figure seuls les elements sp6dfiques 
a Tinvention ont §t6 repr6sent6s. Les autres composants non representes mais 
n§cessaires a la mise en oeuvre du proc6de de la figure 5 peuvent Stre 
aisement determines, de fagon classique § partir des elements d6crits 

30 precedemment. Ainsi les composants n6cessaires pour mettre en oeuvre les 
operations 78 et 82 de la figure 5 ainsi que les operations de divisions n'ont 
pas ete representes. De meme les tampons de stockage des variables C1, S1 , 
C2, S2, R et u ne sont pas representes. 



WO 02/073450 PCT/FR02/00897 

, , 38 

Ce multiplieur 150 comporte une m6moire 152 raccord6e a I'entr6e 
et a la sortie de moyens 154 de calculs specifiques, sous le contrOle de 
moyens de commande 1 56. 

Le multiplieur de Montgomery 150 d6crit ici a titre d'exemple est 
5 adapte pour coop6rer avec des moyens principaux de calcul (non 
repr6sent6s). Ces moyens principaux de calcul ex6cutent par exemple une 
exponentiation modulaire selon le precede de la figure 7. Dans une telle 
situation le multiplieur de Montgomery 50 est un coprocesseur permettant 
d'acceterer le temps d'execution des produits de Montgomery. 
10 La memoire 152 est raccord6e par Tintermediaire de bus d'entr6e / 

sortie de donnees aux moyens principaux de calcul (non represents). 

La memoire 152 est adaptee pour stocker les variables suivantes : 

la variable M calcuiee lors de Tetape 1 10 du procede de la figure 7 ; 

la variable n' 0 calcuiee lors de l'6tape 112 du proc6d6 de la figure 7 ; 
15 les seconds produits m.n calculus lors de retape 1 14 du proc6de de 

la figure 7 ; 

les variables M a calcul6es lors de l'6tape 1 16 de la figure 7 ; 

la variable C initialisee lors de I'etape 118 et calculee lors des 
operations 126 et 128 du proc6d§ de la figure 7 ; 
20 Tunit6 1 n6cessaire pour la realisation de P6tape 122 du proc6d6 de 

la figure 7 ; et 

les premiers produits ai. b pr6-calcul6s lors de T6tape 70 du 
procede de la figure 5. 

Les moyens 154 de calculs specifiques comportent un premier et un 
25 second additionneurs de Carry-Save 157, 158, un premier et un second 
additionneurs conventionnels 160 et 162, un registre a decalage a droite 164 
et un soustracteur conventionnel 166. 

Le premier additionneur de Carry-Save 157 est raccorde d une 
sortie de la memoire 152 et & une sortie du second additionneur du Carry-Save 
3 0 158. II est 6galement raccorde d I'entr6e du second additionneur de Carry- 
Save 158. Cet additionneur de Carry-Save est ici destine a realiser la premiere 
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op6ration d'addition 76 du proc6d6 de la figure 5. Sa structure est classique et 
d6coule de celle d6crite en regard de la figure 3A. 

Le second additionneur de Carry-Save 158 est raccord6 & la sortie 
de la m£moire 152 et a une sortie du premier additionneur de Carry-Save 157. 
5 II est 6galement raccordS a une entr6e du premier additionneur de Carry-Save 
157. Cet additionneur 158 est, ici, destin6 a realiser la seconde operation 
d'addition 80 du proced6 de la figure 5. Sa structure est similaire a celle du 
premier additionneur de Carry-Save 157. 

Le premier additionneur conventionnel 160 est raccorde ci une 
10 entree et d la sortie de la mSmoire 152. Cet additionneur est destin6 ci realiser 

le pre-calcul des premiers produits ai . b et des seconds produits m.n. Par 
exemple le calcul des seconds produits m.n est realise selon la succession de 
calculs suivant : 

2.N := N+N 
15 3.N := N+2.N 

4.N := N+ 3.N 

etc... 

Les r6sultats des calculs des premiers et des seconds produits sont 
ensuite stock6s dans la m6moire 152 aux emplacements pr6vus & cet effet. 

20 Le second additionneur conventionnel 162 est raccord6 £ la sortie 

du second additionneur de Carry-Save 158 et £ une entr6e du soustracteur 
166. Ce second additionneur 162 est destinS a realiser ('operation de 
recombinaison 84 de la figure 5. Sa structure d6coule de celle d6crite en 
regard de la figure 3B. Toutefois les cellules qui le composent telles que la 

25 cellule 48 de la figure 3B, sont regroup6es en etages de 32 cellules. La sortie 
de chaque 6tage est directement raccord6e a un 6tage correspondant dans le 
soustracteur 166 de mantere & ce que, d6s que le calcul de I'addition dans un 
des Stages est fini, le r6sultat est directement transmis a T6tage correspondant 
du soustracteur 166 sans attendre. Ainsi le soustracteur 166 execute 

3 0 Top6ration de soustraction avec seulement un cycle d'horloge de retard sur 
Top6ration d'addition. Cette structure est connue sous le nom de « Pipe line », 
et permet d'acceterer le temps d'execution des operations. 
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Le soustracteur 166 est adapts pour realiser Top6ration 86 de la 
figure 5. II est done par exemple raccorde aux sorties du second additionneur 
conventionnel 162 et de la memoire 152. II est egalement raccorde a une 
entree de la memoire 152, par exemple, pour stacker le resultat de Top6ration 
5 de reduction 86. 

Le registre £ d6calage a droite164 est adapts pour decaler a droite 
de co bits, © etant le radix de la methode de Montgomery a radix eieve. Ce 
registre 164 est destine a r6aliser les operations calcul des ai ,. le resultat etant 
alors utilise pour seiectionner Tun des premiers produits ai . b correspondant 
10 dans la memoire 152. Les connexions du registre a decalage 164 avec les 
autres composants de la figure 9 n'ont pas ete representees pour simplifier la 
representation schematique, de telles connexions pouvant ais£ment etre 
determin6es. 

Les moyens de commande 156 sont adaptes pour commander le 
15 fonctionnement des moyens de calculs specifiques 154 et de la memoire 152 

conformement au proc6de de la figure 5. Ces moyens de commande sont 

r6alis6s de fa?on classique. 

L'ensemble des elements de la figure 9 sont, par exemple, 

implantes dans un composant FPGA ou dans un composant ASIC. En variante 
20 ce composant est associe a d'autres composants eiectroniques sur une carte 

eiectronique de maniere & r6aliser une carte eiectronique conforme au 

standard PCI. Une carte conforme au standard PCI est enfichable dans des 

ordinateurs classiques, ces derniers etant alors adaptes pour former les 

moyens principaux de calcul. 
25 Dans le cas d'un composant FPGA dont la reference est XILINX 

XCV1600E-6 fonctionnant a 45 MHz, les estimations du nombre de cycles 

d'horloge requis pour executer chaque etape du procede de la figure 5 sont les 

suivantes : 

35 cycles d'horloge pour retape 70 ; 
3 o 260 cycles d'horloge pour retape 72 ; 

39 cycles d'horloge pour retape 74 de recombinaison et de 

reduction. 
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II r. 

Ainsi restimatfon du nombre de cycles d'horloge total pour calculer 
un produit de Montgomery selon le proc6d6 de la figure 5 est de 334 cycles 
d'horloge pour des variables d'entree cod6es sur 512 bits. 

Dans ces conditions il a egalement ete estime que le proc6d6 de la 
5 figure 7 met en oeuvre 643 produits de Montgomery et que I'etape 114 de la 
figure 7 de pre-calcul des seconds produits m.n necessite 38 cycles d'horloge. 
On obtient ainsi une estimation du nombre de cycles d'horloge n6cessaires 
pour calculer une exponentiation modulaire portant sur des grands nombres de 
512 bits 6gale a 214223 cycles d'horloge. Ceci correspond pour une frequence 

10 de fonctionnement du composant FPGA de 45 MHz d un nombre 
d'exponentiations 512 bits sensiblement superieur £ 200 par seconde. On 
notera que pour cette estimation on consid6re que les etapes 110 et 112 du 
proced6 de la figure 7 sont executees par les moyens principaux de calcul 
associes au multiplieur de Montgomery 150. Par consequent le nombre de 

15 cycles d'horloge requis pour executer ces deux operations n'est pas pris en 
compte dans cette estimation. On admet toutefois que leur temps d'ex6cution 
est approximativement 10 fois inferieur & celui des etapes 1 14 a 122. 

En variante les moyens de calculs specifiques 154 comportent un 
seul additionneur de Carry-Save. En effet lors de l'ex6cution du proc6d6 de la 

20 figure 5, la premiere operation d'addition 76 precede toujours la seconde 
operation d'addition 80 puisque le r6sultat de la premiere addition 76 est utilise 
dans cette seconde operation d'addition 80. Par consequent le premier et le 
second additionneurs de Carry-Save 157, 158 ne sont jamais actifs en meme 
temps, il est done possible de les remplacer par un seul additionneur de Carry- 

25 Save realisant altemativement la premiere operation d'addition 76 et la 
seconde operation d'addition 80. 

La figure 10 repr6sente sch6matiquement des moyens materiels de 
calcul 200 conforme a I'invention associ6s a des moyens principaux de calcul 
201. Sur ce schema seuls les composants eiectroniques principaux ont ete 

30 repr6sentes, les autres composants pouvant etre aisement determine. 

Les moyens principaux de calcul 201 sont adaptes pour r6aliser des 
exponentiations modulaires selon le proc6d6 de la figure 7 en cooperant avec 
les moyens materiels de calcul 200. lis sont, par exemple, formes avec un 
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ordinateur. Dans le cas particulier d6crit ici, les moyens 201 sont adaptes pour 
r6atiser une premiere et une seconde exponentiations modulaires. La premiere 
et la seconde exponentiations modulaires sont chacune r6alis6es selon le 
proc6d6 de la figure 7 et par consequent mettent en oeuvre respectivement 
5 des premiers et des seconds produits de Montgomery. 

Les moyens mat6riels de calcul 200 sont adaptes pour former un 
coprocesseur pour les moyens principaux de calcul 201. II comporte un 
multiplieur de Montgomery 202 assocte & des moyens de d6calage a gauche 
204, sous la commande de premiers moyens de commande 206. 
10 Le multiplieur de Montgomery 202 est une variante du multiplieur de 

Montgomery 150 de la figure 9 dans lequel Putilisation des ressources est 
optimis6e. En effet il est adapts pour exporter sensiblement en parallele les 
premiers et les seconds produits de Montgomery sans pour autant dedoubler 
les ressources a mettre en oeuvre. II permet ainsi de diviser par deux le temps 
1 5 d'ex6cution de deux produits de Montgomery. 

Ce multiplieur de Montgomery 202 comporte une memoire 210 
assoctee ci des moyens de calculs specifiques 212, sous le controle de 
seconds moyens de commande 214. De meme que sur la figure 9, seuls les 
composants principaux ont 6t6 repr6sent6s, les autres composants sont 
2 o ais6ment d6terminables. 

La m6moire 210 est adaptee pour stacker les variables suivantes : 
le r6sidu M d'un message d'entr6e M de la premiere 
exponentiation, calcul6 lors de P6tape 110 du proc6d6 de la figure 7 par les 
moyens de calcul 201 . 

2 5 le r§sidu M' d'un message d f entr6e M* de la seconde 

exponentiation, calculi lors de Tetape 110 du proc^de de la figure 7 par les 
moyens de calcul 201. 

- les variables n'o et n" 0 calcul6es lors des etapes 112 du proc6d6 
de la figure 7 respectivement pour la premidre et la seconde exponentiations 

3 0 modulaires; 

les seconds produits m.n et m'.n' calcules lors des Stapes 114 du 
proc6d6 de la figure 7 respectivement pour la premiere et la seconde 
exponentiations modulaires ; 
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les variables M a est M ,a calcuiees lors des etapes 116 du proc6d6 
de la figure 7 respectivement pour la premiere et la seconde exponentiations 
modulaires ; 

les variables C et C calcuiees lors de retape 118 et lors des 
5 operations 126 et 128 du precede de la figure 7 respectivement pour la 
premiere et la seconde exponentiations modulaires ; 

I'unite 1 necessaire pour executer retape 122 du precede de la 

figure 7 ; 

les modulus n et n' respectivement de la premiere et de la seconde 
10 exponentiations modulaires. 

La m6moire 210 comporte un premier et un second tampons 
d'entree de donnees de manfere a enregistrer simultan6ment deux donn6es 
differentes. Elle comporte 6galement un premier et un second tampons de 
sortie de donn6es de manfere d mettre simultanement d disposition des 
15 moyens de calculs specifiques 212 deux donnees differentes, une dans 
chaque tampon de donnees. 

Les moyens 212 de calculs specifiques comportent un premier et un 
second registres & decalage & droite 216, 218, un premier et un second 
additionneurs conventionnels 220, 222, un bloc d'additionneurs de Carry-Save 
20 224 et un bloc 226 de recombinaison et de reduction. 

Le premier registre a decalage a droite 216 est raccorde au premier 
tampon de sortie de donnees de la memoire 210 et £ I'entree du premier 
additionneur conventionnel 220. Ce premier registre a decalage 216 est 
destine & Stre utilise lors des operations de calcul de la premiere 
25 exponentiation modulaire. Ainsi ce registre est utilise de fagon similaire au 
registre 164 de la figure 8 pour calculer les cu . 

Le second registre & decalage 218 est similaire au premier registre 
a decalage 216. Toutefois celui-ci est raccorde au second tampon de sortie de 
donnees de la m6moire 210 et a I'entree du second additionneur conventionnel 
30 222. Ce registre a decalage est destine £ etre utilise lors des operations de 
calcul de la seconde exponentiation modulaire. 
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Le premier additionneur conventionnel 220 est raccordS au premier 
tampon d'entree de donn6es de la memoire 210. Cet additionneur 
conventionnel 220 est destine & etre utilise pour le calcul de la premiere 
exponentiation modulaire. Sa structure et son fonctionnement sont similaires & 
5 I'additionneur conventionnel 1 60 de la figure 8. 

Le second additionneur conventionnel 222 est raccorde en sortie du 
second registre e decalage 118 et au second tampon d'entree de la memoire 
210. Sa structure et son fonctionnement sont similaires & I'additionneur 
conventionnel 160 de la figure 8. 

10 Le bloc 224 d'additionneurs de Carry-Save est raccorde au premier 

et au second tampons de sortie de donnees de la memoire 210, et d I'entr6e 
du bloc 226 de recombinaison et de reduction. Ce bloc 224 comporte deux 
additionneurs de Carry-Save 230 et 232. Le premier et le second additionneurs 
de Carry-Save 230, 232 sont respectivement adaptes pour realiser la premiere 

15 operation d'addition 76 et la seconde operation d'addition 80 du procSde de la 
figure 5. Ces deux additionneurs de Carry-Save 230, 232 sont commandes par 
les seconds moyens de commande 214 pour que les operations de calcul du 
premier et du second produits de Montgomery soient entrelac6es. Ainsi apres 
une phase d'initialisation, la premiere operation d'addition 76 pour le premier 

20 produit de Montgomery est exScutee par le premier additionneur de Carry- 
Save 230 tandis que, dans le meme temps, la seconde operation d'addition 80 
pour le second produit de Montgomery est ex6cut6e par le second 
additionneur de Carry-Save 232. Ensuite lors des operations suivantes 
d'ex£cution de la boucle d'operations 72, la situation s'inverse, c'est-&-dire que 

25 I'additionneur de Carry-Save 230 execute la premiere operation d'addition 76 
pour le calcul du second produit de Montgomery tandis que, dans le m§me 
temps, le second additionneur de Carry-Save 232 execute la seconde 
operation d'addition 80 pour le calcul du premier produit de Montgomery. Les 
seconds moyens de commande 214 mettent a profit le fait que dans le 

3 0 procede de la figure 5 applique au calcul d'un seul produit de Montgomery, la 
premiere et la seconde operations d'addition sont toujours successives et ne 
peuvent pas etre realisees en meme temps. Par consequent lors du calcul d'un 
seul produit de Montgomery il existe toujours un additionneur de Carry-Save 
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inactif. Ainsi les seconds moyens de commande d6crits ici, commandent 
I'additionneur de Carry-Save inactif pour ex6cuter une operation d'addition 
destin6e a un second produit de Montgomery execute en parallele avec le 
premier. 

5 Le bloc 226 de recombinaison et de reduction se compose d'un 

additionneur conventionnel 236 raccorcte £ Tentr6e d'un soustracteur 
conventionnel 238. L'additionneur conventionnel 236 est raccord§ a la sortie 
du bloc 224 d'additionneurs de Carry-Save. Get additionneur conventionnel 
236 est adapte pour r6aliser ('operation 84 de recombinaison du proc6d6 de la 
10 figure 5. 

Le soustracteur 238 est raccorde par exemple 3 Tentr6e des 
moyens principaux de calcul 201 apte & utiliser le r6sultat du produit de 
Montgomery. Le soustracteur 238 est adapts pour r§aliser PopSration de 
reduction 86 du proc6d6 de la figure 5. 

is Les seconds moyens de commande 214 sont realises de fagon 

conventionnelle et sont raccord6s d I'ensemble des composants du multiplieur 
de Montgomery 202. lis sont egalement adaptes pour commander les 
differentes operations de calcul du premier et du second produits de 
Montgomery r6alis6es par le multiplieur de Montgomery 202. 

20 Le multiplieur de Montgomery 202 est realise, par exemple, a I'aide 

d'un composant FPGA ou ASIC. 

Les moyens 204 de decalage a gauche sont raccord6s a Tentree et 
a la sortie des moyens principaux de calcul 201 sous la commande des 
premiers moyens de commande 206. 

25 Les moyens 204 pour effectuer un decalage a gauche comportent 

une m6moire 240 de type RAM (Random Access Memory) dans laquelle sont 
stockes un premier et un second exposants correspondant respectivement a 
ceux de la premiere et de la seconde exponentiations modulaires. Le premier 
et le second exposants sont notes respectivement E1 et E2. Cette memoire 

30 240 est raccordee & I'entr6e d'un premier et d'un second registres & decalage 
a gauche 242, 244 de r bits, r etant le parametre de la methode m-ary. 

Le registre a decalage a gauche 242 est adapte pour determiner et 
fournir les variables Fi issues de I'exposant E1 conform6ment £ I'etape 1 18 du 
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proc6d6 de la figure 7. Ce registre a d6calage comporte un nombre de bits 
interieur d celui de I'exposant E1, par exemple 32 bits alors que I'exposant E1 
est cod6 sur 512 bits. Ainsi d6s que I'ensemble des bits contenus dans ce 
registre ont 6t§ d§cal6s, le registre est immSdiatement rechargS avec les 32 
5 bits suivants de I'exposant E1 extrait de la mSmoire 240. Ceci permet d'utiliser 
un registre a d6calage de 32 bits pour decaler des nombres cod6s sur un 
nombre de bits superieurs. 

Le registre £ d6calage ci gauche 244 est similaire au registre a 
dScalage 242, toutefois il est destine & fournir les variables Fi issues de 

10 I'exposant E2. 

Les premiers moyens de commande 206 sont raccordSs aux 
moyens 204 de d6calage a gauche et aux seconds moyens de commande 
214. lis sont adaptes pour commander les moyens 204 de dScalage a gauche 
et le multiplieur de Montgomery 202 par rintermSdiaire des seconds moyens 

15 de commande 214. lis sont 6galement raccord6s aux moyens principaux de 
calcul 201 et adaptes pour coopSrer avec ces derniers pour mettre en oeuvre le 
procSde de la figure 7. Ainsi les Stapes 110 et 112 du proced6 de la figure 7 
sont, par exemple, rSalisees par les moyens de calcul 201 tandis que les 
Stapes 114 a 122 mettent en ceuvre les moyens matSriels de calcul 200 pour 

2 o accSlerer le temps de calcul. 

Uensemble des 6l6ments de la figure 10 sont, par exemple, 
implantes dans un composant FPGA ou dans un composant ASIC. En variante 
ce composant est associe a d'autres composants 6lectroniques sur une carte 
Slectronique de maniere a rSaliser une carte 6lectronique conforme au 

25 standard PCI. Une carte conforme au standard PCI est enfichable dans des 
ordinateurs classiques, ces derniers etant alors adaptes pour former les 
moyens principaux de calcul. 

En variante, la premiere exponentiation modulaire est r6alis6e sur 
les poids faibles du message d'entrSe tandis ce que la seconde exponentiation 

30 modulaire est r6alis6e sur les poids forts de ce mSme message, les r6sultats 
des exponentiations sur les poids faibles et les poids forts 6tant ensuite 
recombiner pour obtenir le r6sultat final. 
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Le fonctionnement des composants des moyens materiels de calcul 
repr6sent6s aux figures 9 et 10 est classique en lui-m§me. Le fonctionnement 
de la cooperation de ces differents composants entre eux d6coule directement 
des proced6s d6crits en regard des figures 5 et 7. Par consequent la 
5 cooperation des differents composants entre eux ne sera pas decrite ici plus 
en detail. 

Le fonctionnement du procede de la figure 7 va maintenant etre 
illustre a I'aide d'un exemple simple consistant & calculer I'exponentiation 
modulaire suivante : 
10 149 100 mod 165 

ou : 

- 149 est la valeur du message d'entree en decimale, note M dans 
cet exemple ; 

- 100 est la valeur de Texposant en decimale, note E dans cet 

15 exemple ; 

- 165 est la valeur du modulus en decimale, note n dans cet 

exemple. 

Dans la suite de cet exemple, et pour simplifier la presentation, les 
produits de Montgomery sont calcuies selon le procede de Montgomery a radix 
20 6lev6 de la figure 2 et non pas suivant le procede de la figure 5. Le radix est ici 
choisi egal a 4 bits. 

Par ailleurs, le parametre r de la methode m-ary est choisi ici 6gal a 

5 bits. 

25 Les representations binaires de M, n et E sont les suivantes : 

M = 1001 0101 ( = 149 d6c.) 
E = 0110 0100 ( = 100 dec.) 
N = 1010 0101 (= 165 d6c.) 

On deduit de ces representations binaires que les variables d'entree 
3 o sont cod6es sur 8 bits et que par consequent le parametre p de retape 1 10 de 
la figure 7 necessaire pour calculer le residu de M, note M , est 6gal £ 2 8 , c'est- 
a-dire a 256. L'etape 1 10 du procede de la figure 7 consiste done & r6aliser le 
calcul suivant : 
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M =149X256 mod 165. 

On obtient par une m£thode classique, telle que I'algorithme 
d'Eudide £tendu : M = 29 d£c. 

L'6tape 112 de la figure 7 consiste a calculer n'o selon la relation 
5 d§finie a I'etape 2 de la figure 1. Pour cela on determine d'abord n 0 , c'est-a- 
dire les 4 bits de poids faible du modulus n. On a done n 0 6gal 5. Ensuite, no" 1 
est calculi & I'aide de la relation suivante : 

n 0 .no" 1 = 1 mod 16 

Pour calculer la valeur de la variable no" 1 on exploite le fait que cette 
10 valeur est un entier naturel compris entre 0 et 15. Par consequent pour chaque 
valeur possible de la variable n 0 " 1 le produit suivant est calculi : 
n 0 .no" 1 mod 16 

Ensuite, on selectionne la valeur de n 0 ~ 1 satisfaisant la relation 
prec6demment d£finie. Par cette mSthode on determine que n 0 " 1 est 6gal £ 13. 
15 On calcule ensuite son complement & 1 et Ton obtient n' 0 = 3. 

L'£tape 1 14 du proced6 de la figure 7 consiste a pr6-calculer les 16 
valeurs possibles des seconds produits m.n. Etant donne la simplicity de 
Texemple d£crit ici, ceci sera fait non pas dans cette etape mais directement 
20 au moment ou la valeur de Tun des seconds produits est requise. 

L'etape 116 consiste a calculer M a pour les valeurs successives de 
a comprises entre 2 et 31. Toutefois, dans I'exemple particulier d£crit ici, 
I'exposant E se decompose en seulement deux mots de 5 bits Fo et Fi dont les 
valeurs sont les suivantes : 
25 F 0 = 00100 ( = 4 dec.) 

Fi = 0001 1 ( = 3 dec.) 

Par consequent seuls les variables M 3 et M 4 sont n6cessaires pour 
Texecution des etapes suivantes. On ne calculera done ici que ces deux 
variables M 3 et M 4 . 

30 Pour calculer M 3 et M 4 les operations suivantes sont 

successivement effectu6es : 
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M 3 =MonPro(M, M 2 ) 
M 4 = MonPro(M, M 3 ) 

Le calcul de ces differents produits de Montgomery est effectu6 
selon le procede decrit en regard de la figure 2. Le procede etant identique 
5 pour le calcul de M 2 , M 3 et M 4 , on ne decrit ci-dessous que le calcul de M 2 . 

A I'etape 16 du procede de la figure 2 applique au calcul de M 2 , les 
premiers produits M|. M sont pre-calcules, oCi la variable M| prend 
successivement les deux valeurs suivantes : 

Mo = 1101 ( = 13 dec.) 

10 Mi =0001 ( = 1 dec.) 

Apres calcul, on obtient : 
Mo.M =377;et 
Mi.M =29. 

La boucle 18 d'operations de la figure 2 est ensuite executee 
15 successivement pour les indices i = 0 et i=1 . 

Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u: = M 0 .M =1 0111 1001 (=377 dec.) 
m : = uo.n'o mod 2° = 93 mod 16 = 11 
20 u:= u + m.n = 377 + 11 X165 = 2192 

u: = u/2 <D =2192/16 = 137. 

Pour I'incide i = 1 , les operations 24 a 30 de la boucle 18 sont done 
les suivantes : 

u : =u + Mi.M = 137 + 1 29 = 166 

.25 m : = Uo.n'o mod 2 (D = 3 6 mod 16 = 2 

u := u + m.n = 166 + 2 165 = 496 
u ; = U /2 <D = 496/16 = 31 

On obtient done M 2 = 31. De facon similaire on determine M 3 = 
164;etM 4 =16. 
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On remarque que M 4 a Tissue de la boucle d'operations 18 est egal 
a 181, ce qui est sup6rieur au modulus, par consequent retape 20 de 
reduction doit etre executee. 

Lors de I'operation 118 du procedede la figure 7, la valeur de la 

5 variable M Fs " 1 , c'est-a-dire ici M F 1 , est affectee £ la variable C . 

Les operations 126 et 128 de la boucle d'operations 120 du proc6d6 
de la figure 7 sont ensuite ex6cut6es pour la valeur de Tindice i = 0. 

L'op6ration 126 consiste a calculer la variable C 32 , c'est-a-dire ici a 
calculer (M 3 ) 32 . Les operations successives suivantes sont doncex6cutees : 
10 M 8 = MonPro (M 4 , M 4 ). 

M 16 = MonPro (M 8 , M 8 ) 
M 32 = MonPro (M 16 , M 16 ) 
M 64 =MonPro(M 32 , M 32 ) 
M 96 = MonPro (M 64 , M 32 ) = (M 3 ) 32 
15 Ces produits de Montgomery sont calculus selon le precede d6crit 

en regard de la figure 2. Les calculs des variables M 16 , M 32 ,!^ 64 , M 96 etant 
similaires a celui de M 8 , ils ne seront pas decrits ici en detail. 

Le calcul de M 8 est effectue selon la relation suivante : 

M 8 = MonPro (M 4 , M 4 ) = MonPro (16, 16) 
20 Lors de retape 16 du proc6d6 de la figure 2, les premiers produits 

de Montgomery al . b , c. a. d. ici M 0 4 M 4 et M / . M 4 sont pr6-calcul6s. Les 

valeurs de M 0 4 et Mi 4 sont les suivantes : 

Mo 4 =0000 (=0d6c.) 

Mi 4 = 0001 (= 1 d6c.) 
25 On en deduit done les valeurs des premiers produits suivantes : 

M 0 4 . M 4 = 0X16 = 0 
Mi 4 . M 4 = 1 X16 = 16 

La boucle d'operations 18 de la figure 2 est ensuite executee 
successivement pour i = 0 et i=1 . 
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Pour i = 0, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u : = u + ai . b = 0 
m : = u 0 . n'o mod 2 ro = 0 X 3 mod 16 = 0 
5 u: = u + m.n= 0 + 0X165 = 0 

u : = u/ 2* = 0 / 16 = 0 

Pour i = 1, les operations 24 a 30 de la boucle 18 sont done les 

suivantes : 

u : = u + ai . b = 0 + 16 = 16 
10 m : = u 0 . n'o mod T = 0X3 mod 16 = 0 

u : = u + m.n = 16 + 0X 165 = 16 
u: = u/2 (D = 16/16 = 1 

De facon similaire on obtient les resultats numeriques suivants : 
M 16 = 136; 
15 M 32 =31 ; 

M 64 =16; 
M 96 = 136. 

Lors de I'execution de I'operation 128 du procede de la figure 7, F 0 
etant different de 0, le pnoduit de Montgomery entre la variable C 32 et M F0 est 
20 calcule selon la relation suivante : 

C ^MonProCM 96 , M 4 ) 
ou : 

- M 96 = 136; 

- M 4 = 16. 

25 A Tissue du calcul de ce produit de Montgomery selon le procede de 

la figure 2 on obtient le resultat suivant : 
C : = MonPro(136, 16) = 91 

La boucle d'operations 120 du procede de la figure 7 n'est executee 
qu'une seule fois puisque la valeur initiate de I'indice i est 0. 
30 A Tissue de I'execution de la boucle d'operation 120, Tetape 122 est 

executee. Elle consiste a effectuer I'operation suivante : 
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C: = MonPro(C, 1) 
ou: 

- C =91 ; 
- 1 est Punite. 

5 A Tissue du calcul de ce produit de Montgomery selon le procede de 

la figure 2 on obtient le r6sultat num6rique suivant : 
C: = MonPro(91,1) = 1 

Ainsi le r6sultat final de Pexponentiation modulaire 149 100 mod 165 
est 6gal 3 1 . 

10 On congoit done 3 la lecture de la description qui pr6c6de que 

Nnvention permet d'accel6rer le temps d'execution du calcul d'un produit de 
Montgomery sur des moyens materiels de calcul. La description preeddente 
d6crit egalement Papplication de Pinvention a des proced6s de cacul de 
multiplications et d'exponentiations modulaires, les proc6des de calcul des 

15 multiplications et des exponentiations modulaires decrits etant eux-m£mes 
optimises pour acc6lerer encore plus leur temps d'ex6cution. Les 
multiplications modulaires ou les exponentiations modulaires sont, comme on 
Pa d6j& indiqu6, utilis6es dans de nombreux proc6d§s et systemes de 
cryptage/dScryptage d'informations. Toutefois, les applications de Pinvention 

20 ne se limitent pas & ce domaine duplication mais s'6tendent a tous les 
domaines techniques ou des produits de Montgomery, des multiplication 
modulaires ou des exponentiations modulaires sont utilises, tels que par 
exemple le domaine des telecommunications ou autres. 

25 
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REVENDICATIONS 

1 . ProcedS de traitement du calcul d'un produit de Montgomery d 
partir de la methode de Montgomery a radix 6lev£, ledit proc6d6 etant mis en 
oeuvre sur des moyens materiels de calcul (150 ; 200) form£s d'un ensemble 

5 de composants electroniques comprenant au moins un additionneur de Carry- 
Save (157, 158 ; 230, 232), ladite rrtethode comprenant une boucle 
d'operations, par reiteration d'operations successives r6alis6es par lesdits 
moyens materiels de calcul (1 50 ; 200) comportant au moins : 

- une premiere operation d'addition arithmetique (24 , 76) d'une 

10 valeur d'un de plusieurs premiers produits, notes a^b et d'une valeur d'une 
variable, notee u ; 

- une deuxfeme operation d'addition arithmetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 
variable u, 

15 caracterise en ce qu'il consiste : 

- a deiivrer, en entree dudit au moins un additionneur de Carry- 
Save, la valeur de la variable u sous la forme d'un. couple de Carry-Save et 
ladite valeur d'un de plusieurs produits, notes <*.!>, respectivement m.n, pour 
ex6cuter lesdites premiere et deuxteme operations d'addition arithmetique et 

20 pour obtenir en sortie le resultat de la premiere, respectivement de la 
deuxieme, operations d'addition arithmetique sous la forme d'un couple de 
Carry-Save, 

- £ affecter, £ la valeur de la variable u, le resultat obtenu en sortie 
dudit au moins un additionneur de Carry-Save, et 

25 - a repeter les operations de deiivrance et d'affectation pour 

chacune desdites iterations. 

2. Procede selon la revendication 1 comportant, dans la boucle 
d'operations une troisfeme operation de division (30 ; 76) de la variable u par 
une puissance de 2, notee 2® oCi co est le radix, selon une troisi&me relation 

30 u :=^, caracterise en ce que la variable u est enregistrSe sous la forme d'un 
couple de Carry-Save forme par deux variables, notees C et S, pour 
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rex6cution des op6rations de la boucle (72) et en ce que la troisfeme operation 
de division de la variable u sous la forme d'un couple de Carry-Save est 
r6alisee en deux 6tapes, d savoir : 

une etape preliminaire (82) de calcul et de stockage d'une retenue, 
5 notee R e , qui risque d'etre perdue par la division de chaque variable C et S par 
la puissance de 2; 

une 6tape de division (76) de chaque variable C et S par la 
puissance de 2. 

3. Proc6d§ selon la revendication 2, caracterisS en ce que P6tape 
10 preliminaire (82) de calcul de la retenue R e comprend I'operation d'additionner 

de fagon classique to bits de poids faible de la variable C, notes Co, 3 cobits de 
poids faible de la variable S, notes So, selon une quatrfeme relation R e :=Co + 
So. 

4. Proc6d§ selon la revendication 3, caract§ris§ en ce qu'une 
15 recombinaison (78, 84) de u £ partir des variables C et S du couple de Carry- 
Save et de la retenue Re comprend I'operation de decaler a droite de co bits la 
retenue R e et d'additionner de fagon conventionnelle le r6sultat obtenu aux 
variables C et S selon une cinqufeme relation u : = C+S+R e /2 C) - 

5. Proc6d6 selon Tune quelconque des revendications 2 & 4, 
20 caract6ris6 en ce qu'il comporte a Tissue de I'execution de la boucle 

depurations (72) : 

une 6tape de recombinaison (84) de la variable u 3 partir au moins 
des valeurs des variables C et S du couple de Carry-Save calcul6es pendant 
I'execution de la boucle d'operations, et 
25 une 6tape de reduction (86) de la variable u selon une sixieme 

relation u : = u-n, oD n est un modulus, 

lesdites Stapes de recombinaison et de reduction de la variable u se 
chevauchant de manfere £ accel6rer leur temps d'ex6cution. 

6. Proc6d§ selon I'une quelconque des revendications 
30 pr6c6dentes, caract6ris6 en ce que le radix © est 6gal £ 4 bits pour optimiser 

le temps d'ex6cution du calcul d'un produit Montgomery sur des variables 
d'entree du produit de Montgomery cod<§es sur 512 ou 1024 bits. 

7. Proc6de selon Tune quelconque des revendications prec6dentes, 
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caract6rise en ce que les premiers produits ai.b sont pr6-calcul6s avant 
d'ex6cuter la boucle d'op6rations (72). 

8. Proc6d6 selon Tune quelconque des revendications precedentes, 
caract6ris6 en ce que les seconds produits m.n sont pre-calcul6s avant 

5 d'executer la boucle d'operations (72). 

9. Proc§de pour acc6l6rer le temps d'execution du calcul d'un 
premier et d'un second produits de Montgomery en appliquant pour chaque 
produit un precede selon Tune quelconque des revendication 1 & 8, caract§ris6 
en ce qu'il comporte au moins une premiere etape pendant laquelle la 

10 premtere op6ration d'addition (76) pour le premier produit est r6alis6e en 
m§me temps que la seconde operation d'addition (80) pour le second produit 

10. Proced6 selon la revendication 9, caract6rise en ce qu'il 
comporte au moins une seconde etape d6calee dans le temps par rapport a la 
premiere, pendant laquelle la seconde operation d'addition (80) pour le premier 

15 produit est r6alisee en m£me temps que la premiere op6ration d'addition (76) 
pour le second produit. 

11. Proc6d6 selon la revendication 9 ou 10, caracteris§ en ce qu'il 
comporte a Tissue de l'ex6cution de la boucle d'op6rations (72) : 

une 6tape de recombinaison (84) puis de reduction (86) pour le 
20 premier produit ex6cute en premier ; et ensuite, 

une 6tape de recombinaison (84) puis de reduction (86) pour le 
second produit execute en second. 

12. Procede selon Tune des revendications 9 a 11, caract6ris6 en 
ce qu'une des variables d'entr6e du premier produit de Montgomery execute 

25 en premier se compose des poids faibles d'une variable, et une des variables 
d'entree du second produit de Montgomery execute en second se compose 
des poids forts de cette mSme variable. 

13. Proc§d§ pour acc£l6rer le temps d'ex6cution du calcul d'une 
multiplication modulaire en appliquant une m§thode mettant en oeuvre des 

30 produits de Montgomery, caracterise en ce que le calcul des produits de 
Montgomery est r6alis6 en appliquant au moins Tun des proc6d6s selon au 
moins Tune des revendications 1 a 12. 

14. Proc6d§ selon la revendication 13, caract6ris6 en ce que ladite 
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methode rnettant en oeuvre des produits de Montgomery est la m6thode de 
Montgomery. 

15 Proced6 pour acc6l6rer le temps d'ex6cution du calcul d'une 
exponentiation modulaire en appliquant une m6thode rnettant en oeuvre des 
5 multiplications modulaires, caract6ris6 en ce que le calcul des multiplications 
modulaires est r6alis6 en appliquant un proc6d6 selon la revendication 13 ou 
14. 

16. Proc6d6 selon la revendication 15, caract6ris6 en ce que ladite 
m6thode rnettant en oeuvre des multiplications modulaires est la m6thode m- 

10 ary avec une taille de mots de r bits. 

17. Proc6de selon la revendication 16, caracterise en ce que la taille 
de mots r de la methode m-ary est §gale & 5 bits pour accel6rer le temps 
d'ex6cution de la m6thode m-ary lorsque des variables d'entr6e du calcul de 
Texponentiation modulaire sont cod6es sur 512 ou 1024 bits. 

15 18. Proced6 selon la revendication 16 ou 17, caracteris6 en ce que 

les seconds produits m.n sont pr6-calcul6s avant d'appliquer la m6thode al- 
ary. 

19. Proc&Je selon la revendications 15, caracteris6 en ce que ladite 
methode rnettant en oeuvre des multiplications modulaires est la m6thode des 

2 o restes chinois. 

20. Proc6de pour accSlerer le temps d'ex6cution du calcul d'une 
premiere exponentiation modulaire en appliquant une mSthode rnettant en 
oeuvre des secondes exponentiations modulaires, caract6ris6 en ce que les 
secondes exponentiations modulaires sont realises en appliquant un pnoc6de 

2 5 selon Tune des revendications 1 5 £ 1 9. 

21 . Proced6 selon la revendication 20, caracterise en ce que ladite 
mSthode rnettant en oeuvre des secondes exponentiations modulaires est la 
m6thode des restes chinois. 

22. Proc6d6 selon Tune quelconque des revendications 

3 o precedentes, caracteris6 en ce qu'il est appliqu6 a des nombres cod6s sur plus 

de 320 bits. 

23. Programme d'ordinateur comprenant des instructions de code 
de programme pour l'ex6cution de certaines 6tapes du proc6de selon Tune 
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quelconque des revendications 13 a 21 lorsque led'rt programme est execute 
sur des moyens principaux de calcul (201) assoctes audits moyens materiels 
de calcul (150; 200). 

24. Systeme de traitement de calcul d'un produit de Mongtomery a 
5 partir de la methode de Mongomery £ radix 6lev6, ledit systeme comportant 
des moyens materiels de calcul (150 ; 200) fomtes d'un ensemble de 
composants 6lectroniques, ledit traitement comprenant une boucle 
d'op§rations, par reiteration d'op6rations successives tealis6es par lesdits 
moyens materiels de calcul (150 ; 200) comportant : 
10 - une premiere operation d'addition arithrn&ique (24 , 76) d'une 

valeur d'un de plusieurs premiers produits, notes cu.b et d'une valeur d'une 

variable, notee u ; 

- une deuxteme operation d'addition arithnrtetique (28 ; 80) d'une 
valeur d'un de plusieurs seconds produits, notes m.n, et d'une valeur de ladite 

15 variable u, 

caracteris6 en ce que les moyens materiels de calcul (150 ; 200) 
comportent au moins : 

- un additionneur de Carry-Save adapte pour recevoir en entr6e la 
variable u sous la forme d'un couple de Carry-Save et ladite valeur d'un de 

20 plusieurs produits, notes al?, respectivement m.n, et a delivrer en sortie le 
tesultat de la premiere, respectivement la deuxieme, operation d'addition 
arithntetique sous la forme d'un couple de Carry-Save, et 

- des moyens pour affecter & la variable u la valeur obtenue en 
sortie dudit au moins un additionneur de Carry-Save. 

25 25. Systeme selon la revendication 24, characterise en ce que les 

moyens pour effectuer la premiere et la seconde operations d'addition 
comportent au moins un premier additionneur de Carry-Save (1 57 ; 230) 
adapte pour r6aliser la premiere op6ration d'addition et un second additionneur 
de Carry-Save (158; 232) adapte pour tealiser la seconde operation 

30 d'addition. 

26. Systeme selon Tune des revendications 24 ci 25, comportant des 
moyens classiques pour tealiser une troisidme op6ration de division de la 
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variable u par une puissance de 2, notee 2® ou co est le radix, selon une 
troisfeme relation u :=™, caracteris6 en ce qu'il comporte des moyens de 

stockage de la variable u sous la forme d'un couple de Carry-Save form6 par 
deux variables, not6es C et S et des moyens pour r6aliser la troisteme 
5 operation de division de la variable u sous la forme d'un couple de Carry-Save 
comprenant : 

des moyens de calcul et de stockage d'une retenue, notee R e , qui 
risque d'etre perdue par la division de chaque variable C et S par la puissance 
de 2; 

io des moyens de division de chaque variable C et S par la puissance 

de 2. 

27. Systerne selon la revendication 26, caract6ris6 en ce que les 
moyens de calcul et de stockage de la retenue R e comportent des moyens 
d'addition conventionnelle des co bits de poids faible de la variable C, notes C 0 , 

15 aux co bits de poids faible de la variable S, notes So, selon une quatrfeme 
relation Re : = C 0 + S 0 . 

28. Systerne selon Tune quelconque des revendications 24 a 29, 
caract6ris6 en ce qu'il comprend : 

des moyens (162 ; 236) de recombinaison de la variable u au moins 
20 a partir des valeurs des variables C et S du couple de Carry-Save, 

des moyens (166; 238) de reduction de la variable u, lesdits 
moyens de recombinaison de la variable u et lesdits moyens de reduction etant 
raccord6s I'un a I'autre de maniere a chevaucher leur fonctionnement sous le 
contr6le de moyens de commande (156 ; 214). 
25 29. Systeme selon I'une quelconque des revendications 24 a 30, 

characterise en ce que le radix co est 6gal £ 4 bits pour optimiser le temps 
d'execution du calcul d'un produit Montgomery sur des variables d'entree du 
produ'rt de Montgomery cod6es sur 512 ou 1024 bits. 

30. Systeme selon I'une quelconque des revendications 24 £ 31, 
30 caract6ris6 en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 

de pr6-calculs des premiers produits ai .b . 

31. Systeme selon I'une quelconque des revendications 24 & 31, 
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caracterise en ce qu'il comporte des moyens (164, 160 ; 216, 214, 218, 222) 
de pte-calculs des seconds produits m.n. 

32. Systeme selon la revendication 30 ou 31 caracterise en ce que 
lesdits moyens de pre-calculs des premiers et/ou des seconds produits 

5 comportent un additionneur conventionnel (160 ; 220, 222). 

33. Systeme d'acceieration du temps d'ex6cution du calcul d'un 
premier et d'un second produits de Montgomery, caracterise en ce qu'il 
comporte deux additionneurs de Carry-Save (230, 232) activ6s simultanSment. 

34. Systeme selon la revendication 33, caracterise en ce qu'il 
10 comporte un seul moyen (162) pour recombiner la variable u a partir au moins 

des valeurs de variables C et S du couple de Carry-Save, relie en entree d'un 
seul moyen (166) de reduction de la variable u. 

35. Systeme d'acceieration du temps d'execution du calcul d'une 
multiplication modulaire par une methode mettant en oeuvre des produits de 

15 Montgomery, lesdits produits de Montgomery etant executes sur des moyens 
materiels de calcul (150 ; 200), caracterise en ce qu'il comporte au moins un 
systeme (150 ; 202) deceleration du temps d'ex6cution du calcul des produits 
de Montgomery selon Tune des revendications 24 d 34. 

36. Systeme deceleration du temps d'execution du calcul d'une 
20 multiplication modulaire par la methode de Montgomery mettant en oeuvre des 

produits de Montgomery sur des moyens materiels de calcul (150; 200), 
caracterise en ce qu'il comporte au moins un systeme (150; 202) 
d'acceieration du temps d'execution du calcul des produits de Montgomery 
selon Tune des revendications 24 a 34. 

25 37. Systeme d'acceieration du temps d'ex6cution du calcul d'une 

exponentiation modulaire par une methode mettant en ceuvre des 
multiplications modulaires, caracteris6 en ce qu'il comporte au moins un 
systeme (150; 200) d'acc6l6ration du temps d'ex6cution du calcul des 
multiplications modulaires selon la revendication 35 ou 36. 

30 38. Systeme deceleration du temps d'execution du calcul d'une 

exponentiation modulaire par la methode m-ary avec une taille de mots de r 
bits mettant en oeuvre des multiplications modulaires, caracterise en ce qu'il 
comporte au moins un systeme (150; 200) deceleration du temps 
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d'execution du calcul des multiplications modulaires selon la revendication 35 
ou 36. 

39. Systeme selon la revendication 38, caracterise en ce qu'il 
comporte au moins un registre (242, 244) a d6calage a gauche de 5 bits pour 

5 acc6lerer I'execution de la methode m-ary avec une taille de mots r bits de la 
methode m-ary 6gale a 5 bits. 

40. Systeme deceleration du temps d'ex6cution du calcul d'une 
exponentiation modulaire par la methode des restes chinois mettant en oeuvre 
des multiplications modulaires, caracterise en ce qu'il comporte au moins un 

10 systeme (150; 200) d'acceieration du temps d'ex6cution du calcul des 
multiplications modulaires selon la revendication 37 ou 39. 

41. Systeme d'acceieration du temps d'execution du calcul d'une 
premiere exponentiation modulaire par une methode mettant en oeuvre des 
secondes exponentiations modulaires, caracteris6 en ce qu'il comporte au 

15 moins un systeme (150 ; 200) d'acceieration du temps d'execution du calcul 
des secondes exponentiations modulaires selon Tune quelconque des 
revendications 37 a 40. 

42. Systeme d'acceieration du temps d'execution du calcul d'au 
moins une premiere exponentiation modulaire par la methode des restes 

2 0 chinois mettant elle-meme en oeuvre des secondes exponentiations 

modulaires, caracterise en ce qu'il comporte au moins un systeme (150 ; 200) 
d'acceieration du temps d'execution du calcul des secondes exponentiations 
modulaires selon Tune quelconque des revendications 39 a 41 . 

43. Composant eiectronique characterise en ce qu'il comporte au 
25 moins un systeme selon Tune des revendications 24 a 42. 

44. Composant 6lectronique selon la revendication 45, caracterise 
en ce qu'il est forme avec au moins un FPGA. 

45. Carte eiectronique caracteris6e en ce qu'elle comporte au moins 
un systeme selon Tune des revendications 24 2t 44. 

3 0 46. Carte eiectronique selon la revendication 45, caracterisee en ce 

qu'elle est conforme au standard PCI. 

47. Machine caracterisee en ce qu'elle est associe & au moins un 
systeme selon I'une des revendications 24 a 46. 
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48. Proc6de de traitement du calcul d'une premiere exponentiation 
modulaire, notee M E mod n oCi M est le message d'entr§e, E est I'exposant et n 
est le modulus, a Paide de moyens principaux de calcul (201) forme par un 
ordinateur, caracteris6 en ce qu'il comporte les 6tapes suivantes : 

5 - une premiere 6tape d'6criture en entr6e des moyens principaux de 

calcul, de la premiere exponentiation modulaire, 

- une deuxteme etape d'activation sur les moyens principaux de 
calcul (201) de moyens de traitement selon la m6thode des restes chinois de 
ladite premiere exponentiation modulaire pour obtenir en sortie deux secondes 

l o exponentiations modulaires & traiter, 

- une troisieme 6tape d'activation de moyens de traitement selon la 
m6thode m-ary de chacune des secondes exponentiations modulaires, la 
m6thode m-ary mettant en oeuvre des multiplications modulaires, 

- des 6tapes d'activation de moyens de traitement selon la methode 
15 de Montgomery de chacune desdites multiplications modulaires de la methode 

de m-ary. 

49. Proc6d6 selon la revendication 48, caract6ris§ en ce que les 
variables d'entree sont des nombres entiers naturels cod6s sur plus de 320 
bits. 

20 50. Pnoc6d6 selon la revendication 48 ou 49, caract6ris6 en ce que 

la taille de mots r de la methode m-ary est egale a 5 bits pour acc6l6rer le 
temps d'exScution de la m6thode m-ary lorsque les variables d'entr6e du calcul 
de Texponentiation modulaire sont codees sur 512 ou 1024 bits. 

51. Proc6d6 selon Tune quelconque des revendication s 48 a 50, 
25 caract6ris6 en ce que les calculs des secondes exponentiations modulaires 

sont effectu6s sensiblement en parall6le. 

52. Proc6d§ selon Tune quelconque des revendications 48 a 51, 
caracteris6 en que les produits de Montgomery sont calculus en utilisant la 
methode de Montgomery & radix 6lev6. 

30 53. Proc6d6 selon la revendication 52, caract6ris6 en ce que la 

m6thode de Montgomery d radix 6lev6 est mise en oeuvre conform6ment 6 Tun 
des proc6d6s selon Tune quelconque des revendications 1 a 9. 

54. Programme d'ordinateur comprenant des instructions de code 
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de programme pour l'ex6cution de certaines 6tapes du proc6d6 selon Tune 
quelconque des revendications 48 & 52 lorsque ledit programme est execute 
sur les moyens principaux de calcul (201). 
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